Ryuk el nuevo ransomware que amenaza a las empresas

Ryuk es un ransomware que se identificó el 13 de agosto de 2018 el cual se propaga por vulnerabilidades en el protocolo RDP, sin embargo se han evidenciado campañas que lo distribuyen a través de malspam con archivos .PDF y .DOC habilitados con macros.

Lo que diferencia a Ryuk del resto de ransomwares no es su destreza técnica de propagación ni cifrado, sino más bien el enorme rescate que exige. La cantidad depende del tamaño de la organización afectada, sin embargo, se estima que es diez veces más que la cantidad que normalmente demandan otros malware de ese tipo. 

Los investigadores de ciberseguridad han notado similitudes entre la campaña de Ryuk y  HERMES (APT norcoreano Lazarus). Sin embargo, durante el primer semestre de 2019, MalwareHunterTeam descubrió una nueva variante del Ryuk que de acuerdo a sus nuevos comportamientos se asocia a Rusia, esto debido a que agrega una lista de strings como “SPB" (St. Petersburg) y "MSK" (Moskau) las cuales se validan con el nombre del equipo víctima para que en caso de tener coincidencias, estos no se cifren.

Distribución

Anteriormente, se suponía que Ryuk se distribuía como una infección primaria a través de archivos adjuntos de correo electrónico malicioso y RDP insuficientemente protegidos. Sin embargo, el número limitado de ataques contra organizaciones seleccionadas de alto perfil sugiere que Ryuk se distribuye y opera manualmente. Eso significa que cada ataque debe prepararse de forma individual y cuidadosa, lo que incluye una amplia asignación de red y recopilación de credenciales. Estas observaciones sugieren que los atacantes ya estaban familiarizados con los dominios específicos a través de otras infecciones de malware antes de que pudieran instalar Ryuk.

En confirmación de esa teoría, la última investigación de enero de 2019 muestra que Ryuk se propaga principalmente como una carga secundaria, instalada manualmente por atacantes en máquinas que ya han sido infectadas con las botnets Emotet y TrickBot.

Tanto Emotet como TrickBot tienen las funcionalidades de gusanos, ladrones de datos y descargadores de programas maliciosos adicionales. La pequeña fracción de infecciones de Ryuk observada entre todas las detecciones de Emotet y TrickBot sugiere, sin embargo, que no es una operación estándar de las dos botnets para infectar sistemas con Ryuk.

¿A qué estuvimos enfrentados durante el segundo trimestre de 2019?

En el segundo trimestre de 2019, Ryuk se convirtió en el ransomware que afecta a las empresas más frecuentemente quedando en el primer puesto a nivel global respecto a malwares similares. Esto supone un aumento dramático dado que hace un año, no estaba ni siquiera en el top 10. 

Por su parte, lo preceden los ransomwares Dharma y Phobos que continúan representando gran parte de los incidentes de pequeñas empresas. Otros cambios notables fueron el retiro de GandCrab y el surgimiento de Sodinokibi en su lugar.

La empresa Coveware, que se encarga de asesorar en la recuperación de ransomware, informó que la técnica de engaño por phishing a través de correo electrónico representó el 34,1% de las infecciones por ransomware, donde el 96% de las empresas comprometidas que pagaron por el rescate recibieron una herramienta de descifrado, teniendo una tasa promedio de recuperación del 92% de sus archivos. Asimismo, menciona que aún el 99% de la criptomoneda preferida en los ataques de ransomware sigue siendo Bitcoin. 

Finalmente, es importante destacar que el costo total de un ataque de Ransomware se puede dividir en dos costos principales:

• Primero, el costo de recuperación. Estos gastos cubren revisiones forenses y asistencia en la reconstitución de servidores y estaciones de trabajo. Si se paga un rescate, entonces eso también es un gasto de recuperación.
• El Segundo, es el costo total del tiempo de inactividad, que en promedio se estiman en 9,6 días. Los costos de tiempo de inactividad suelen ser de 5 a 10 veces la cantidad de rescate real y se miden en pérdida de productividad (oportunidades de ingresos perdidos).

Ryuk Ransomware tiene una baja tasa de éxito de recuperación de datos después de realizar un pago de rescate (88%). En relación con otros tipos de ransomware, la herramienta de descifrado requiere mucha mano de obra y es propensa a fallas. NO debe pagar a una empresa de recuperación de datos ni a ningún otro proveedor de servicios para investigar el cifrado de sus archivos ya que utilizarán los servicios de descifrado gratuitos provistos en internet que no logran recuperar los archivos.

Se recomienda lo siguiente:

• Cambiar el puerto utilizado por RDP a modo que no sea fácilmente detectado por los scanners. El puerto por defecto es el 3389.
• Utilizar un servidor específico para RDP.  https://turbofuture.com/computers/What-is-Remote-Desktop-Gateway-and-how-to-install
• Limitar el número de usuarios permitidos para conexiones de escritorio remoto.
• Realizar copias de seguridad de los datos y aplicaciones de la organización periódicamente para que, ante algún ataque, permita continuar con las operaciones que aseguren la continuidad del negocio de la organización. Se recomienda que se realice en ambientes física y lógicamente separados de la red para aumentar el nivel de seguridad en los respaldos.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.