TOP Malware Series: Ryuk

Actualizado: ago 17



¿Qué es Ryuk?


Ryuk es otra campaña activa de ransomware operado por humanos que causa estragos en las organizaciones, desde entidades corporativas hasta gobiernos locales y organizaciones sin fines de lucro al interrumpir las empresas y exigir un rescate masivo. Ryuk se originó como una carga útil de ransomware distribuida por correo electrónico, pero desde entonces ha sido adoptada por operadores humanos para el despliegue final del ransomware.


Al igual que Doppelpaymer, Ryuk es una de las posibles cargas útiles entregadas por operadores humanos que ingresan a las redes a través de infecciones de troyanos bancarios, en este caso Trickbot. Al comienzo de una infección de Ryuk, un implante Trickbot existente descarga una nueva carga útil, a menudo Cobalt Strike o PowerShell Empire, y comienza a moverse lateralmente a través de la red para el despliegue final del ransomware.


Características de Ryuk


  • Se instala en segundo plano gracias a TrickBot.

  • Cifra los archivos utilizando RSA-2048 y AES-256.

  • Cifra unidades extraíbles y unidades dentro de la red local.

  • Roba información personal y de la organización.

  • Genera persistencia dentro de la red.

  • Ryuk es un ransomware dirigido que puede variar en el monto del rescate de acuerdo a su víctima.

Distribución de Ryuk

Ryuk no utiliza la típica estrategia de ser enviado con algún phishing o archivo adjunto vía correo electrónico para su descarga y activación en el sistema operativo de la victima. Recordemos que es un Ransomware que es inyectado y ejecutado mediante un intermediario, que cuenta con información de la red y los sistemas a infectar. Que en este caso es TrickBot. Gracias al usar su módulo de explotación de EternalBlue, le permite llegar a más sistemas dentro de una red para infectarlos con Ryuk.


Pero, para que TrickBot pueda llegar a los sistemas de la entidad objetivo, debe ser previamente negociado con los administradores de la red EMOTET, el cual mediante un acuerdo económico, dará la orden desde el C&C de EMOTET en descargar y ejecutar en segundo plano TrickBot.


Aunque, de forma independiente a EMOTET. Trickbot opera con campañas masivas de correo electrónico SPAM, con el objetivo de llegar a nuevos blancos y ser un salto para llegar finalmente a su objetivo principal. El phishing y la publicidad engañosa es parte de su modus operandi.


Flujo de Infección


El siguiente diagrama del equipo de Threat Intel de Microsoft representa el flujo de ataque o infección de Ryuk.


Objetivos Geográficos de Ryuk


Ryuk ha estado presente en múltiples países de habla inglesa desde sus inicios de actividad en agosto del año 2018. Los países dentro de la lista son Estados Unidos, Australia y Reino Unido, aunque también ha registrado en España (ejemplo caso Prosegur).



Indicadores de Compromiso


Hashes B9C55DD6DA09E143F051E1DF035FF46EB1A344AE0726B7E78A7894252D428EB6 B6B7C889C0E14B2432B1BEAD0B17346688D48B4AB1D928647D03E13A069135C9 4E3BF8586BA6CCE20F48FB0758B60FFCC76D567A288AD76E3A1FE4AC6B32CC22 A9643EB83D509AD4EAC20A2A89D8571F8D781979AD078E89F5B75B4BCB16F65E D6E66598876136C507AADF10929E663F3CE109D1BC2EF88E3B02CC939458C450 56790DDB543F8A3A920E338237A99115B976E6EDA1199729B35A05BDDA1B67DC 074CE9827D36DF800A4945D87B25B1D0D0712310B60BAB5A9976D5AA8CAC9EF1 DA069BCC1C3323AB44B7060751F9125303907E720907C9AC645F37E2677D8F62 8FC7C352E49FC51F43486C5B5C2CE4E26CF3153B598EC2A4C197E03F425A5225 ABA8A462743D24C36C2589C882C2FB6A451A53DAF72B344B8F965850E381F064


CVE usados por Ryuk


CVE-2017-0144

CVE-2017-0146

CVE-2017-0147

CVE-2017-0148


Recomendaciones de seguridad


  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).

  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.

  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.

  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.

  • Manténgase informado de las últimas amenazas y riesgos en Internet.

  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).


Artículos relacionados


CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Contacto

Síguenos en

  • Icono social LinkedIn
  • Facebook icono social