Ryuk: principales características de este ransomware

¿Qué es Ryuk?

Como mencionábamos antes, Ryuk es un malware que pertenece a la categoría de los ransomware. En la mayoría de los casos este tipo de malware tienen por objetivo cifrar los archivos de una máquina víctima para dejarlos inaccesibles y luego extorsionar a la misma pidiéndole un pago, en criptomonedas, por la recuperación de sus archivos.

Visto por primera vez cerca de agosto de 2018, se sospecha que Ryuk es un derivado del ransomware Hermes (el cual era comercializado en foros clandestinos), ya que comparten ciertas similitudes en su código. A su vez, se cree que el ransomware Ryuk es operado por el grupo cibercriminal conocido como Wizard Spider.

Si bien Ryuk opera desde hace ya un tiempo, ha sido uno de los grupos de ransomware de mayor actividad desde que comenzó la pandemia y se ha cobrado a una gran cantidad de víctimas, entre ellas a varias organizaciones gubernamentales y grandes empresas. Probablemente esto se deba a su estrategia de realizar ataques muy dirigidos apuntando a víctimas que cuenten con los recursos suficientes para pagar importantes sumas de dinero por la recuperación de sus archivos o que necesitan de esta información para poder operar con normalidad. Estas víctimas van desde hospitales, entidades gubernamentales, compañías de tecnología, instituciones educativas, medios de comunicación, entre otros.

Uno de los ataques más reciente y que generó un gran impacto fue el que realizó sobre Servicio Público de Empleo Estatal (SEPE) en España. Por otra parte, el ataque al Universal Health Services en Estados Unidos en 2020 fue, según explican algunos medios, el ciberataque al sector de la salud más grande en la historia de aquel país.

Según reportes, el tiempo promedio de recuperación de una víctima desde que reporta el incidente hasta que recupera la totalidad de sus archivos es de 12 días.

A diferencia de otros grupos de ransomware que han adoptado la modalidad del doxing, que en el contexto del ransomware consiste en robar información de sus víctimas previo al cifrado de los archivos para luego extorsionar con la filtración de la información en caso de no querer pagar, los operadores detrás de Ryuk no recurren a esta práctica.

¿Cómo se propaga el ransomware Ryuk?

Según el análisis que realizamos de algunas muestras de Ryuk y la revisión de otros análisis publicados en el último tiempo, podemos decir que este ransomware es capaz de lograr acceso a los sistemas de una organización e infectar una máquina de diferentes maneras. Algunas de estas pueden ser:

  • Comprometiendo equipos a través del protocolo RDP expuesto a Internet.
  • Siendo distribuido por otros códigos maliciosos, como fue el caso de la triple amenaza en la cual las víctimas se infectaban con el malware Emotet, este descarga y ejecutaba Trickbot y este último ejecutaba Ryuk en la mayor cantidad de computadores posibles.
  • Utilizando correos de phishing dirigidos, también conocidos como Spear Phishing, que pueden incluir archivos adjuntos que descargan malware, como documentos de Office u otro tipo de archivos.

En el caso de la distribución a través de otros códigos maliciosos, además de la triple cadena de infección que involucró a Emotet primero, Trickbot en segunda instancia y Ruk en la etapa final, también se han registrado casos en los que se ha distribuido a través de Trickbot solamente y casos en los que se utilizó otro malware como BazarLoader. Vale la pena mencionar que luego de que los operadores detrás de Ruyk logran acceso a los sistemas de la víctima a través de los métodos que mencionamos, se valen de distintas herramientas para realizar tareas de reconocimiento dentro de los sistemas para finalmente desplegar el ransomware.


Regresar a Noticias
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.