Ransomware Ryuk ataca redes empresariales en todo el mundo

Los ciberdelincuentes se centran casi exclusivamente en el ransomware para ganar dinero
 

Esta campa√Īa de ransomware se enfoca principalmente en los negocios y exige un pago en Bitcoin

Grupos de especialistas en ciberseguridad de distintas partes del mundo reportan diversos casos de ataque con el ransomware conocido como Ryuk, que ransomware encripta los datos almacenados en la memoria de los dispositivos y en los centros de datos. Las víctimas del ataque se encuentran en organizaciones de Estados Unidos y otras partes del mundo.

Se estima que el grupo de hackers detr√°s del ataque acumula m√°s de 640 mil d√≥lares en Bitcoin durante la campa√Īa y, presumiblemente, tienen alguna conexi√≥n con el grupo¬†Lazarus, hackers vinculados al gobierno de Corea del Norte.

‚ÄúDesde la fase de explotaci√≥n hasta el proceso de cifrado de archivos y hasta la propia demanda de rescate, la campa√Īa de ransomware Ryuk es llevada a cabo con sumo cuidado y est√° dirigida a empresas con los recursos suficientes para pagar un rescate y que el malware no intervenga en sus operaciones‚ÄĚ, mencionaron expertos en ciberseguridad.

El ransomware Ryuk apareció por primera vez a mediados de agosto y en pocos días infectó a varias organizaciones en Estados Unidos, encriptando computadoras y centros de datos para después exigir un rescate en Bitcoin; se cree que una organización pagó 50 Bitcoin (alrededor de 320 mil dólares) para liberar su información.

Esta campa√Īa de ransomware ha sido detallada por diversos expertos en¬†ciberseguridad, quienes describen los ataques como una labor dirigida de tal manera que los atacantes realizan campa√Īas personalizadas que implican mapeo extenso de la red atacada y robo de credenciales para alcanzar el objetivo final de la instalaci√≥n Ryuk y cifrar los sistemas.

Este ataque es similar al utilizado por el ransomware SamSam, con el que los atacantes reunieron más de 6 millones de dólares, aunque no existe un vínculo aparente entre los dos ataques.

Investigadores en ciberseguridad del Instituto Internacional de Seguridad Cibern√©tica reportan que a√ļn falta determinar c√≥mo se entrega exactamente la carga maliciosa, lo que s√≠ se sabe es que los usuarios infectados con Ryuk se encuentran con dos notas de rescate diferentes.

En uno de los mensajes se afirma de manera muy educada que los atacantes han encontrado un agujero en los sistemas de seguridad de la empresa mediante el que se han encriptado los archivos del usuario y se demanda un pago en Bitcoin, recordando adem√°s que los archivos se perder√°n por completo si no se realiza el pago en dos semanas.

Una segunda nota, en un tono más directo, simplemente indica que los archivos han sido encriptados y que se debe pagar un rescate para recuperarlos. En ambos casos, las víctimas reciben un correo electrónico de contacto y una dirección de cartera en línea.

En ambos casos, los rescates han sido de entre 15 y 35 Bitcoin (224 mil dólares aprox.) con una tarifa adicional de 0.5 Bitcoin por cada día que pase. Las tarifas de rescate solicitadas llevan a pensar que los hackers han investigado detalladamente a las organizaciones víctimas del ataque.

A pesar de ser una campa√Īa recientemente lanzada, ya se ha podido concluir que Ryuk tiene el mismo c√≥digo que¬†Hermes, utilizado en una campa√Īa de ransomware anterior.