Ryuk: la nueva pesadilla de las empresas

“Ryuk, una pieza de código de ransomware de origen ruso que lleva el nombre del dios de la muerte en el manga japonés Death Note, y ciertamente hace honor a su homónimo”. Así nos presenta esta amenaza Carsten Wenzel, director de Canal para el Suroreste de Europa de CyberArk. A lo que hay que añadir que Ryuk no es un ransomware nuevo. “Su origen se encuentra en el proyecto Hermes que surgió allá por 2017, desarrollado por un grupo que se ocultaba bajo el nombre de CrytoTech”, nos cuenta Alfonso Franco, CEO & Managing director de All4Sec.

Hermes comenzó a ponerse a la venta, dentro del mercado ilegal de Internet, bajo configuraciones predefinidas al precio de 300 dólares. Ofrecía claves de cifrado para un solo uso que respondían a “un modelo de licenciamiento para ataques dirigidos a empresas preseleccionadas”, prosigue aquel especialista.

Posteriormente, el malware evolucionó a una nueva versión que pasó a denominarse Ryuk. Amenaza de la que se tiene constancia por primera vez  en agosto de 2018, pero que no ha sido hasta los últimos meses cuando realmente se ha expandido. “A mediados del 2019, un gran número de instituciones públicas y grandes empresas sufrieron ataques por parte de cibercriminales organizados que hicieron uso de este tipo de ransomware. Este malware cuya principal diferencia frente a otros ransomware es que está centrado en atacar entornos empresariales, ha ido evolucionando desde su aparición hasta hoy”, explica Karina Rojas, Enterprise Channel manager de Cytomic.

¿Qué tipo de instituciones y empresas? Antonio Martínez, responsable técnico de Stormshield Iberia, nos los detalla a continuación: “Ya contaba con un pico de infecciones a mediados del año pasado (con notables casos reportados como la ciudad de Lake City en Florida, o la ciudad de Nueva Orleans en diciembre del 2019). Por desgracia ha vuelto a cobrar actualidad durante la actual pandemia. De hecho, el pasado mes de marzo se reportaron ataques de este ransomware en organismos públicos y privados, como el de la ciudad de Durham en Carolina del Norte, o el de la empresa americana de servicios legales Epiq Global, lo que forzó a los administradores a desconectar sus sistemas informáticos mientras contenían la amenaza”.

Pero, sin dudas, lo más llamativo de esta amenaza, por lo inhabitual, es su rápida expansión y la cantidad de grandes empresas a las que afecta. “Estas empresas tuvieron que tomar medidas como apagar todos los ordenadores y desconectar sus redes de Internet. Pasos necesarios para evitar que el ransomware se extienda y produzca más daños, pero que pueden ser muy costosos y afectar al servicio”, apostilla aquella especialista. Propagación que se realiza “a través red LAN (habitualmente utiliza el troyano TrikBot para entrar este proceso), disponiendo, incluso, de funcionalidad de Wake-on-LAN, siendo capaz de encender PCs apagados vía LAN, para infectarlos también. A partir de dicho proceso de infección, secuestra nuestros archivos locales del PC para pedir un rescate en Bitcoins a cambio”, detalla Alberto Pérez Cuesta, director de Desarrollo de Negocio de Exclusive Networks Iberia.

No obstante, lo que realmente llama la atención de este tipo de amenaza es que no se trata de ataques casuales sino que, normalmente, antes de hacerlo, sus creadores e impulsores “investigan a la empresa, la atacan, pero no la atacan inicialmente con Ryuk, porque lo que buscan es ver todos los activos que tienen esa compañía para hacer el mayor daño posible y como paso final es cuando cifran los datos con el ransomware”, explica Guillermo Fernández,  sales Engineer Southern Europe, WatchGuard Technologies 

Cuando cifran los datos y piden el rescate, previamente han podido hacer mucho daño a la compañía (habiendo borrado sus copias de seguridad, etc.). Los que utilizan Ryuk hacen un ataque muy estudiado y piden mucho dinero, porque a la víctima la dejan sin margen de maniobra. “El resultado final es que la compañía víctima del ataque verá como todos sus sistemas quedan bloqueados/cifrados y por tanto sin posibilidad de continuar con su actividad normal. Pero no solo eso, sino que además abre la posibilidad al robo de información lo que podría traer consigo consecuencias para terceras partes e incluso legales para la propia compañía en caso de no haber tomado las medidas de protección previstas en el RGPD”, prosigue Alfonso Franco con su argumentación.

Puede leer aquí el resto del reportaje.