Ryuk es un tipo de ransomware conocido por apuntar a grandes sistemas cibernéticos de Microsoft Windows de entidades públicas . Por lo general encripta los datos en un sistema infectado, lo que hace inaccesible datos hasta que un rescate es pagado en ilocalizable Bitcoin . [1] Se cree que Ryuk es utilizado por dos o más grupos criminales, probablemente rusos, que apuntan a organizaciones en lugar de consumidores individuales. [2]
Origen
Ryuk ransomware apareció por primera vez en 2018. [1] Aunque inicialmente se sospechó que era de origen norcoreano, más recientemente se ha sospechado que Ryuk fue ideado por dos o más cárteles criminales rusos. [1] [2] A diferencia de muchos otros piratas informáticos malintencionados, el grupo criminal Ryuk busca principalmente extorsionar el pago de rescates para liberar los datos que su malware ha inutilizado mediante el cifrado. Como dijo un analista de amenazas de ciberseguridad al Baltimore Sun después de un ataque al sistema escolar del condado de Baltimore (Maryland) en noviembre de 2020, el grupo criminal Ryuk "tiende a ser todo un negocio ... solo les gusta hacer el trabajo": para extorsionar una gran recompensa. [3]
Cómo funciona
En el Reino Unido, el Centro Nacional de Seguridad Cibernética señala que Ryuk usa el malware informático Trickbot para instalarse, una vez que se obtiene acceso a los servidores de una red. Tiene la capacidad de derrotar muchas contramedidas anti-malware que pueden estar presentes y pueden deshabilitar por completo una red de computadoras. Incluso puede buscar y deshabilitar archivos de respaldo si se mantienen en servidores compartidos. [4] Emotet también es utilizado por los piratas informáticos de Ryuk para obtener acceso a las computadoras como cargador inicial o " caballo de Troya ". [5] [6]
El sitio web de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) proporciona información detallada sobre cómo Ryuk infecta y toma el control de una red informática, y dice que el acceso se puede obtener inicialmente mediante: "... campañas de phishing que contienen enlaces a sitios web maliciosos que alojan el malware o los archivos adjuntos con el malware. Los cargadores inician la cadena de infección distribuyendo la carga útil; despliegan y ejecutan la puerta trasera desde el servidor de comando y control y la instalan en la máquina de la víctima ". [7] Los esfuerzos de phishing generalmente contienen documentos maliciosos (o hipervínculos a ellos). [8] Cuando la víctima lo habilita, un cargador o macro malicioso inicia la secuencia de infección. [7]
Una vez Ryuk toma el control de un sistema, que cifra los datos almacenados, por lo que es imposible que los usuarios accedan a menos que un rescate es pagado por la víctima en ilocalizable Bitcoin . En muchos casos, pueden pasar días o semanas entre el momento en que los piratas informáticos obtienen acceso inicialmente a un sistema antes de que se produzca el cifrado masivo, ya que los delincuentes penetran más profundamente en la red para infligir el máximo daño. [9] Ryuk es un tipo de malware especialmente pernicioso porque también encuentra y cifra las unidades y los recursos de la red. También deshabilita la función Restaurar sistema de Microsoft Windows que, de lo contrario, permitiría restaurar los archivos del sistema, las aplicaciones y el Registro de Windows de la computadora a su estado anterior sin cifrar. [6] [8]
Para combatir estos ataques de ransomware, el Comando Cibernético de EE. UU. Inició un contraataque en septiembre de 2020 para desconectar a Trickbot de los servidores de Internet. Poco después, Microsoft invocó la ley de marcas registradas para interrumpir una botnet de Ryuk . [10]
Víctimas de ransomware
Ryuk se dirige a grandes organizaciones con la capacidad de pagar importantes sumas de dinero para recuperar el acceso a sus valiosos datos. En total, se pagaron más de $ 61 millones en rescate debido a los ataques de malware de Ryuk en 2018-2019, según el FBI . [11] En diciembre de 2018, un ataque con base en Ryuk afectó la publicación de Los Angeles Times y periódicos de todo el país utilizando el software Tribune Publishing . [12] La impresión del Fort Lauderdale Sun Sentinel en Florida se detuvo e incluso los teléfonos del periódico no funcionaron. [13] El 20 de octubre de 2020, una empresa de consultoría de tecnología de la información con sede en París , Sopra Steria , sufrió un ataque de ransomware Ryuk. [14] Los ciberdelincuentes cifraron los datos de la empresa utilizando una variante de Ryuk, haciéndolos inaccesibles a menos que se pague un rescate. El ataque le costará a la empresa entre 47 y 59 millones de dólares, estimó. [15] A raíz del ataque, Ryuk fue descrito como "uno de los grupos de ransomware más peligrosos que operan a través de campañas de phishing". [14]
Entre 2019 y 2020, los hospitales de EE. UU. En California, Nueva York y Oregón, así como en el Reino Unido y Alemania, se vieron afectados por el malware Ryuk, lo que provocó dificultades para acceder a los registros de los pacientes e incluso afectó los cuidados intensivos. Los médicos de los hospitales afectados han recurrido a escribir instrucciones en papel, en lugar de utilizar sus computadoras que no funcionan. [16] [17] En los EE. UU., El 29 de octubre de 2020, tres agencias del gobierno federal, el FBI, CISA y el Departamento de Salud y Servicios Humanos emitieron una declaración conjunta, advirtiendo que los hospitales deberían anticipar un aumento e inminente "ola de ataques cibernéticos de ransomware que podrían comprometer la atención del paciente y exponer información personal", probablemente de los ataques de Ryuk. [16] Más de una docena de hospitales estadounidenses se vieron afectados por los ataques de Ryuk a fines de 2020, cerrando el acceso a los registros de los pacientes e incluso interrumpiendo los tratamientos de quimioterapia para quienes padecen cáncer. [11]
También se apuntan las entidades vulnerables del sector público que a menudo utilizan software más antiguo y no siguen los mejores protocolos para la seguridad informática. Lake City, Florida , por ejemplo, pagó $ 460,000 en rescate después de que uno de sus empleados abriera un correo electrónico que contenía una variante del malware Ryuk en junio de 2019 [18].
El ransomware se ha utilizado para atacar a decenas de sistemas escolares de EE. UU., Que a menudo son deficientes en ciberseguridad. [19] Desde 2019, más de mil escuelas han sido victimizadas. A veces, el deterioro resultante tarda semanas en repararse. [9] En 2020, las escuelas desde Havre, Montana , hasta el condado de Baltimore, Maryland , han experimentado ataques de ransomware Ryuk. El rescate exigido por los perpetradores ha oscilado entre $ 100,000 y $ 377,000 o más. [20] El proveedor de educación en línea K12 fue atacado por criminales de ransomware de Ryuk en noviembre de 2020, lo que hizo que algunos de los registros de K12 fueran inaccesibles y provocó la amenaza de divulgación de información personal de los estudiantes. La firma con sede en Virginia pagó un monto de rescate no revelado y dijo: "Según las características específicas del caso y la orientación que hemos recibido sobre el ataque y el actor de la amenaza, creemos que el pago fue una medida razonable a tomar para evitar el uso indebido de cualquier información que el atacante haya obtenido ". [21]
El gran sistema de Escuelas Públicas del Condado de Baltimore en Maryland, que atiende a 115,000 estudiantes y tiene un presupuesto de $ 1.5 mil millones, tuvo que suspender todas las clases después de que se experimentaron problemas con su red de computadoras a partir del 24 de noviembre de 2020, supuestamente debido a Ryuk. La falla del sistema se manifestó por primera vez cuando los maestros que intentaban ingresar las calificaciones de los estudiantes se encontraron bloqueados y notaron las extensiones de archivo Ryuk. Los funcionarios escolares del condado lo caracterizaron como "un ataque catastrófico a nuestro sistema de tecnología" y dijeron que podrían pasar semanas antes de que se complete la recuperación. [22] El director de tecnología de la información del sistema escolar dijo: "Este es un ataque de ransomware que cifra los datos tal como están y no accede a ellos ni los elimina de nuestro sistema". [19] Antes del ataque de malware paralizante, los auditores estatales del La Oficina de Auditorías Legislativas de Maryland realizó una auditoría periódica de la red informática del Sistema Escolar del Condado de Baltimore en 2019. Encontraron varias vulnerabilidades en el sistema, como un monitoreo insuficiente de las actividades de seguridad, servidores de acceso público que no están aislados de la red interna del sistema escolar y un falta de "detección de intrusiones ... para tráfico no confiable". [23] [24] Avi Rubin , Director Técnico del Instituto de Seguridad de la Información de la Universidad Johns Hopkins , dijo que los auditores descubrieron "computadoras que se ejecutaban en la red interna con ninguna capacidad de detección de intrusiones "fue motivo de especial preocupación. [25] Aunque el informe final de la Oficina de Auditorías Legislativas de Maryland se publicó el 19 de noviembre de 202 0, los auditores advirtieron inicialmente al sistema escolar de sus hallazgos en octubre de 2019. [23]
El alcance de Ryuk es global y afecta a los consejos y agencias gubernamentales de todo el mundo. Uno de esos ataques aterrizó en la ciudad de Onkaparinga , Australia del Sur. En diciembre de 2019, el virus Ryuk se apoderó de la infraestructura de TI de la ciudad. El ataque dejó a cientos de empleados en el limbo mientras el departamento de TI de la ciudad trabajaba para restablecer las operaciones. Cada vez que se restablecían las copias de seguridad, el virus Ryuk iniciaba el proceso de atacar el sistema de nuevo. El ataque continuó durante cuatro días antes de que el equipo de TI pudiera contener el virus y restablecer las copias de seguridad necesarias. [26] [27]
A principios de 2021, se descubrió una nueva cepa del ransomware Ryuk que presenta capacidades similares a gusanos que pueden llevar a que se propague por sí mismo y se distribuya a otros dispositivos en la base de datos local en la que se está infiltrando. [28] [29]
Ver también
- Wizard Spider - grupo conocido por usar el software
Referencias
- ↑ a b c Constantin, Lucian (12 de mayo de 2020). "Explicación del ransomware Ryuk: un ataque dirigido y devastadoramente efectivo" . CSO Online . Grupo Internacional de Datos . Consultado el 27 de noviembre de 2020 .
- ^ a b Brewster, Thomas (20 de febrero de 2019). "Confundido con los norcoreanos, los piratas informáticos ransomware 'Ryuk' están ganando millones" . Forbes . Consultado el 30 de noviembre de 2020 .
- ^ Bowie, Liz; Knezevich, Alison (27 de noviembre de 2020). "El ataque de ransomware paraliza las escuelas públicas del condado de Baltimore" . El Sol de Baltimore . Consultado el 27 de noviembre de 2020 .
- ^ "Ryuk ransomware dirigido a organizaciones a nivel mundial" . Centro Nacional de Seguridad Cibernética . 21 de junio de 2019.
- ^ "APT de Corea del Norte (?) Y ataques recientes de Ryuk Ransomware" . Lógica de Kryptos . 10 de enero de 2019 . Consultado el 1 de diciembre de 2020 .
- ^ a b Kujawa, Adam (8 de enero de 2019). "Ryuk ransomware ataca a las empresas durante las vacaciones" . Malwarebytes.com . Consultado el 10 de diciembre de 2020 .
- ^ a b "Actividad de ransomware dirigida al sector de la salud y la salud pública" . Agencia de Ciberseguridad y Seguridad de Infraestructuras . 2 de noviembre de 2020 . Consultado el 27 de noviembre de 2020 .
- ^ a b "Ryuk se convierte en una de las amenazas de ransomware más devastadoras" . Rangeforce.com . Consultado el 10 de diciembre de 2020 .
- ^ a b Collins, David (26 de noviembre de 2020). "Funcionarios de TI de BCPS que intentan deshacer el daño causado por el ciberataque de ransomware" . Baltimore, Maryland: WBAL-TV . Consultado el 28 de noviembre de 2020 .
- ^ "Microsoft utiliza la ley de marcas comerciales para interrumpir la botnet Trickbot" . Krebs sobre seguridad . Consultado el 1 de diciembre de 2020 .
- ^ a b Barry, Ellen; Perlroth, Nicole (27 de noviembre de 2020). "Los pacientes de un hospital de Vermont quedan 'en la oscuridad' después de un ciberataque" . New York Times . Consultado el 28 de noviembre de 2020 .(requiere suscripción)
- ^ Sanger, David E .; Perlroth, Nicole (30 de diciembre de 2018). "El ciberataque interrumpe la impresión de los principales periódicos" . New York Times . Consultado el 28 de noviembre de 2020 .(requiere suscripción)
- ^ Olmeda, Rafael (29 de diciembre de 2018). "Virus informático congela South Florida Sun Sentinel" . Consultado el 28 de noviembre de 2020 .
- ^ a b "Sopra Steria es víctima de Ryuk Ransomware" . Lectura segura. 23 de octubre de 2020 . Consultado el 4 de diciembre de 2020 .
- ^ "El ataque de ransomware costará a los servicios de TI franceses 60 millones de dólares" . TechStreetnow. 26 de noviembre de 2020 . Consultado el 4 de diciembre de 2020 .
- ^ a b Joy, Kevin (29 de octubre de 2020). "Lo que los hospitales deben saber sobre la amenaza Ryuk Ransomware" . HealthTech . Consultado el 27 de noviembre de 2020 .
- ^ "Los hospitales estadounidenses se preparan para la inundación de Ryuk" . Techhq. 30 de octubre de 2020 . Consultado el 27 de noviembre de 2020 .
- ^ Mazzei, Patricia (27 de junio de 2019). "Otra ciudad de Florida pirateada paga un rescate, esta vez por $ 460.000" . New York Times . Consultado el 28 de noviembre de 2020 .(requiere suscripción)
- ^ a b Paybarah, Azi (29 de noviembre de 2020). "Ataque de ransomware cierra las escuelas públicas del condado de Baltimore" . New York Times . Consultado el 2 de diciembre de 2020 .
- ^ Dragu, Paul (10 de febrero de 2020). "Ransomware paraliza el sistema informático de las escuelas públicas de Havre" . Havre Herald . Consultado el 29 de noviembre de 2020 .
- ^ Abrams, Lawrence (2 de diciembre de 2020). "El gigante de la educación en línea K12 paga a Ryuk ransomware para detener la fuga de datos" . BleepingComputer . Consultado el 4 de diciembre de 2020 .
- ^ Bowie, Liz; Knezevich, Alison (27 de noviembre de 2020). "Los expertos dicen que la restauración de la red escolar del condado de Baltimore puede llevar semanas, y que las clases posiblemente se remontan a días" . El Sol de Baltimore . Consultado el 27 de noviembre de 2020 .
- ^ a b Simpson, Amy (30 de noviembre de 2020). "Auditor del estado: BCPS informó de las preocupaciones de la red en octubre de 2019" . WBFF . Consultado el 3 de diciembre de 2020 .
- ^ Knezevich, Alison (26 de noviembre de 2020). "La auditoría encontró 'riesgos significativos' en la red informática de las escuelas del condado de Baltimore" . El Sol de Baltimore . Consultado el 28 de noviembre de 2020 .(requiere suscripción)
- ^ Collins, David (27 de noviembre de 2020). "Los auditores encontraron riesgos significativos en la red BCPS antes del ciberataque de ransomware" . Baltimore, Maryland: WBAL-TV . Consultado el 2 de diciembre de 2020 .
- ^ "Sobrevivir a un impactante ataque de ransomware Lecciones de la ciudad de Onkaparinga" . www.compnow.com.au/ . www.compnow.com.au . Consultado el 19 de abril de 2021 .
- ^ "El presunto ataque de ransomware de Ryuk bloquea el consejo de la ciudad de Onkaparinga de Adelaida" . www.abc.net.au . Comisión Australiana de Radiodifusión. 6 de enero de 2020 . Consultado el 19 de abril de 2021 .
- ^ ArcTitan (9 de marzo de 2021). "Se recomienda precaución ya que todos los dispositivos de la red pueden ser infectados automáticamente por Ryuk Ransomware" . ArcTitan . Consultado el 9 de marzo de 2021 .
- ^ "Suscríbase para leer | Financial Times" . www.ft.com . Consultado el 9 de marzo de 2021 . Citar utiliza un título genérico ( ayuda )
enlaces externos
- "Caza mayor con Ryuk: otro ransomware dirigido lucrativo"