Ransomware Ryuk ataca redes empresariales en todo el mundo

Los ciberdelincuentes se centran casi exclusivamente en el ransomware para ganar dinero
 

Esta campaña de ransomware se enfoca principalmente en los negocios y exige un pago en Bitcoin

Grupos de especialistas en ciberseguridad de distintas partes del mundo reportan diversos casos de ataque con el ransomware conocido como Ryuk, que ransomware encripta los datos almacenados en la memoria de los dispositivos y en los centros de datos. Las víctimas del ataque se encuentran en organizaciones de Estados Unidos y otras partes del mundo.

Se estima que el grupo de hackers detrás del ataque acumula más de 640 mil dólares en Bitcoin durante la campaña y, presumiblemente, tienen alguna conexión con el grupo Lazarus, hackers vinculados al gobierno de Corea del Norte.

“Desde la fase de explotación hasta el proceso de cifrado de archivos y hasta la propia demanda de rescate, la campaña de ransomware Ryuk es llevada a cabo con sumo cuidado y está dirigida a empresas con los recursos suficientes para pagar un rescate y que el malware no intervenga en sus operaciones”, mencionaron expertos en ciberseguridad.

El ransomware Ryuk apareció por primera vez a mediados de agosto y en pocos días infectó a varias organizaciones en Estados Unidos, encriptando computadoras y centros de datos para después exigir un rescate en Bitcoin; se cree que una organización pagó 50 Bitcoin (alrededor de 320 mil dólares) para liberar su información.

Esta campaña de ransomware ha sido detallada por diversos expertos en ciberseguridad, quienes describen los ataques como una labor dirigida de tal manera que los atacantes realizan campañas personalizadas que implican mapeo extenso de la red atacada y robo de credenciales para alcanzar el objetivo final de la instalación Ryuk y cifrar los sistemas.

Este ataque es similar al utilizado por el ransomware SamSam, con el que los atacantes reunieron más de 6 millones de dólares, aunque no existe un vínculo aparente entre los dos ataques.

Investigadores en ciberseguridad del Instituto Internacional de Seguridad Cibernética reportan que aún falta determinar cómo se entrega exactamente la carga maliciosa, lo que sí se sabe es que los usuarios infectados con Ryuk se encuentran con dos notas de rescate diferentes.

En uno de los mensajes se afirma de manera muy educada que los atacantes han encontrado un agujero en los sistemas de seguridad de la empresa mediante el que se han encriptado los archivos del usuario y se demanda un pago en Bitcoin, recordando además que los archivos se perderán por completo si no se realiza el pago en dos semanas.

Una segunda nota, en un tono más directo, simplemente indica que los archivos han sido encriptados y que se debe pagar un rescate para recuperarlos. En ambos casos, las víctimas reciben un correo electrónico de contacto y una dirección de cartera en línea.

En ambos casos, los rescates han sido de entre 15 y 35 Bitcoin (224 mil dólares aprox.) con una tarifa adicional de 0.5 Bitcoin por cada día que pase. Las tarifas de rescate solicitadas llevan a pensar que los hackers han investigado detalladamente a las organizaciones víctimas del ataque.

A pesar de ser una campaña recientemente lanzada, ya se ha podido concluir que Ryuk tiene el mismo código que Hermes, utilizado en una campaña de ransomware anterior.