Nuevas campañas de Ryuk evidenciadas en Chile y España

Recientes investigaciones de seguridad alertan sobre ataques de ransomware Ryuk afectando a entidades gubernamentales en España y a una empresa Chilena en estos últimos días. Los operadores de ransomware Ryuk se caracterizan por ser un malware altamente dirigido a la administración pública o a grandes organizaciones y corporaciones, objeto extraer altos pagos de rescate de grupos vulnerables.

Como lo informamos en nuestro boletin de marzo, la agencia nacional francesa de ciberseguridad descubrió que Ryuk estaba implementando capacidades de propagación automática.

“Mediante el uso de tareas programadas, el malware se propaga de máquina a máquina dentro del dominio de Windows”, dijo la agencia francesa de ciberseguridad ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) 

Nuevos ataques

Según apuntan los expertos, detrás de los ataques al Ministerio de Trabajo y Economía Social de España estaría involucrado Ransomware Ryuk, un viejo conocido del ministerio. Los mismos fueron también responsables del ciberataque al Servicio Público de Empleo Estatal (SEPE) el pasado mes de marzo, que dejó sus sistemas inoperativos durante semanas. Además, se ha evidenciado empresas afectadas con Ryuk a nivel nacional.

Ransomware Ryuk

Activo desde al menos 2018 y se cree que es operado por ciberdelincuentes rusos, ransomware Ryuk ha estado involucrado en numerosos ataques de alto perfil.

Ryuk es un tipo de ransomware utilizado en ataques dirigidos, donde los actores de la amenaza se aseguran de que los archivos importantes estén encriptados para poder solicitar grandes cantidades de rescate. Una demanda de rescate típica de Ryuk puede ascender a unos cientos de miles de dólares.

Esta variante de ransomware se ha asociado durante mucho tiempo con el malware TrickBot, supuestamente operado por la misma banda. Sin embargo, las operaciones del ransomware han continuado incluso después de un intento de eliminación de TrickBot por parte de Microsoft y otras organizaciones. 

Durante los últimos meses, las estrategia más utilizadas por los atacantes evidenciadas como vectores de entrada son:

• Uso de correo electrónico, enviando un e-mail Phishing en el que adjuntan un archivo malicioso que contenía el código malicioso.
• Los ataques de Ryuk han apuntado a conexiones RDP expuestas, lo que puede ser una forma de acceder a toda una red. Vector Ampliamente abordado en “Protocolo de Escritorio Remoto: un potente vector de entrada de amenazas en tu red” 
• En otras ocasiones, se han basado en ataques de fuerza bruta para así acceder a los escritorios remotos y filtrar el ransomware.
• Algunas técnicas novedosas a destacar son en las que los ciberdelincuentes alertan del uso de una herramienta llamada KeeThief, la cual es de código abierto y tiene por objetivo extraer contraseñas y credenciales del administrador de la aplicación KeePass.
• Explotación de las vulnerabilidades que se encuentran en los dispositivos y aplicaciones. Incluyendo las que forman parte del sistema operativo de Windows.

Nuevas tácticas

Recientemente, los expertos en ciberseguridad han afirmado que los operadores de Ryuk han adoptado nuevos métodos y tácticas. Ahora emplean comandos de PowerShell codificados para realizar las siguientes acciones: 

• Descarga la primera carga útil.
• Desactivar las herramientas de seguridad.
• Detener las copias de seguridad de datos.
• Escanear la red.

Aparte de estas acciones, para implementar el ransomware en el sistema infectado, también explotan Windows Management Instrumentation (WMIC) y BitsAdmin. 

Los operadores de ransomware Ryuk diseñaron esta nueva forma de estrategia para permitir que el ransomware permanezca oculto durante más tiempo en las redes infectadas sin ser detectado.

Panorama

Las continuas actualizaciones de Ryuk demuestran de forma notable que es un tipo de ransomware operado por humanos, dado que después de que los atacantes obtienen acceso remoto a un sistema, realizan manualmente el reconocimiento del sistema, eliminan ejecutables maliciosos y luego los activan. La aparición de variantes del ransomware con capacidades similares a las de un gusano significa que los atacantes parecen estar intentando automatizar de mejor manera su capacidad para dispersar rápidamente el malware desde un sistema inicial infectado a través de toda la red, reduciendo así el tiempo de "intrusión a la infección".

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.