Ryuk (ransomware)

Ryuk es un tipo de ransomware conocido por realizar ciberataques a grandes entidades públicas. Por lo general, encripta los datos en un sistema infectado, haciendo inaccesible los datos del mismo hasta que se consigue un rescate pagado en Bitcoin.[1]​ Se cree que Ryuk es utilizado por dos o más grupos criminales, probablemente rusos, cuyos objetivos son las organizaciones gubernamentales, en lugar de atacar a los individuos o consumidores.[2]

Origen

El ransomware apareció por primera vez en 2018.[1]​ Aunque hubo sospechas iniciales de que era de origen norcoreano, más adelante las dudas recayeron en un origen ruso, ligado a dos o más cárteles del crimen de Europa del Este.[1][2]​ A diferencia de otros piratas informáticos malintencionados, los controladores de Ryuk buscan principalmente extorsionar el pago de rescates para liberar los datos que su malware ha inutilizado mediante el cifrado. En una entrevista al Baltimore Sun, en referencia a su modus operandi, un analista de ciberseguridad estadounidense expresó, después de un ataque al sistema escolar del condado de Baltimore (Maryland) en noviembre de 2020, que usan Ryuk porque "todo es un negocio [para ellos], sólo les gusta hacer el trabajo", en referencia a las acciones para extorsionar un gran pago de rescate.[3]

Forma de actuación

El Centro Nacional de Seguridad Cibernética británico señaló que Ryuk usa el malware Trickbot para instalarse una vez que obtiene los accesos para entrar a los servidores de una red. Tiene la capacidad de derrotar muchas contramedidas antimalware que pueden estar presentes y pueden deshabilitar por completo una red de computadoras. Entre sus funciones, es capaz de buscar y deshabilitar archivos de respaldo si se mantienen en servidores compartidos.[4]​ Otro malware troyano usado por los piratas informáticos tras Ryuk es Emotet.[5][6]

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras estadounidense (CISA) ha proporcionado información en red sobre cómo Ryuk infecta y toma el control de una red informática, expresando que el acceso se puede obtener inicialmente mediante "campañas de phishing que contienen enlaces a sitios web maliciosos que alojan el malware o los archivos adjuntos con el malware. Los cargadores inician la cadena de infección distribuyendo la carga útil; despliegan y ejecutan la puerta trasera desde el servidor de comando y control y la instalan en la máquina de la víctima".[7]​ Los esfuerzos de phishing generalmente contienen documentos maliciosos (o hipervínculos a ellos).[8]​ Cuando la víctima lo habilita, un cargador o macro malicioso inicia la secuencia de infección.[7]

Una vez que Ryuk toma el control de un sistema, cifra los datos almacenados, lo que hace imposible que los usuarios accedan a los mismos, a menos que éste realice un pago o rescate mediante el uso de bitcoin a una cuenta desconocida e ilocalizable. En muchos casos, pueden pasar días o semanas entre el momento en que los piratas informáticos obtienen acceso inicialmente a un sistema antes de que se produzca el cifrado masivo, ya que los delincuentes penetran más profundamente en la red para infligir el máximo daño.[9]​ Ryuk es un malware especialmente pernicioso porque también encuentra y cifra las unidades y los recursos de la red. También deshabilita la función de "restaurar sistema" de Microsoft Windows que, de lo contrario, permitiría restaurar los archivos del sistema, las aplicaciones y el registro del ordenador a su estado anterior sin cifrar.[6][8]

Acciones del ransomware

Ryuk tiene por objetivo grandes organizaciones y corporaciones que sus promotores entienden tienen la capacidad de pagar importantes sumas de dinero para recuperar el acceso a sus valiosos datos. Entre 2018 y 2019, según datos del FBI, se llegaron a pagar más de 61 millones de dólares en rescate por los ataques de malware de Ryuk.[10]​ En diciembre de 2018, un ataque con base en Ryuk afectó la publicación de Los Angeles Times y otros periódicos de Estados Unidos que utilizaban el software Tribune Publishing.[11]​ La impresión del Sun-Sentinel, en Fort Lauderdale (Florida), se detuvo en seco e incluso los teléfonos del periódico no funcionaron.[12]​ El 20 de octubre de 2020, la consultora de IT francesa Sopra Steria sufrió un ataque por Ryuk.[13]​ Los ciberdelincuentes cifraron los datos de la empresa utilizando una variante de Ryuk, haciéndolos inaccesibles a menos que se pagara un rescate. El ataque le costó a la empresa un desembolso calculado entre 47 y 59 millones de dólares.[14]​ A raíz del ataque, Ryuk fue descrito como "uno de los grupos de ransomware más peligrosos que operan a través de campañas de phishing".[13]

Entre 2019 y 2020, hospitales de Estados Unidos en los estados de California, Nueva York y Oregón, así como en el Reino Unido y Alemania, se vieron afectados por el malware, provocando dificultades para acceder a las bases de datos de los pacientes e incluso afectando a los cuidados intensivos. Los médicos de los hospitales afectados tuvieron que recurrir a métodos clásicos para recetas y elaborar informes de alta en lugar de la digitalización de los mismos.[15][16]​ El 29 de octubre de 2020, tres agencias del gobierno estadounidense, el FBI, CISA y el Departamento de Salud y Servicios Humanos emitieron una declaración conjunta, advirtiendo que los hospitales deberían anticipar un aumento e inminente "ola de ataques cibernéticos de ransomware que podrían comprometer la atención del paciente y exponer información personal", probablemente de los ataques de Ryuk.[15]​ A finales de ese año, más de una docena de hospitales en Estados Unidos se habían visto afectados por estos ataques.[10]

El ransomware se ha utilizado para atacar a decenas de sistemas escolares en Estados Unidos, que han sido generalmente deficientes en materia de ciberseguridad,[17]​ con más de mil escuelas atacadas desde el origen del ransomware.[9]​ El rescate exigido por los perpetradores ha oscilado entre 100 000 y 377 000 o más dólares.[18]

A principios de 2021, se descubrió una nueva cepa del ransomware Ryuk que presentaba capacidades similares a gusanos que podían llevar a que se propagara por sí mismo y se distribuyera a otros dispositivos en la base de datos local en la que se infiltraban.[19]

El 9 de marzo de 2021, se perpetró un ciberataque en España contra el Servicio Público de Empleo Estatal (SEPE) que comprometió los servidores que almacenaban la información de este departamento del Ministerio de Trabajo y Economía Social,[20]​ impidiendo atender a diversas resoluciones presenciales en las oficinas del paro y vía telemática,[21]​ aunque fuentes oficiales descartaron que se hubieran vulnerado datos personales o afectado en el pago de las prestaciones por desempleo o ERTE.[22]

Referencias

  1. a b c «Ryuk ransomware explained: A targeted, devastatingly effective attack». CSO Online. Consultado el 10 de marzo de 2021. 
  2. a b «Mistaken For North Koreans, The 'Ryuk' Ransomware Hackers Are Making Millions». Forbes. Consultado el 10 de marzo de 2021. 
  3. «Ransomware attack cripples Baltimore County Public Schools». Baltimore Sun. Consultado el 10 de marzo de 2021. 
  4. «Ryuk ransomware targeting organisations globally». National Ciber Security Centre. Consultado el 10 de marzo de 2021. 
  5. «North Korean APT(?) and recent Ryuk Ransomware attacks». Kryptos Logic. Consultado el 10 de marzo de 2021. 
  6. a b «Ryuk ransomware attacks businesses over the holidays». MalwareBytes Labs. Consultado el 10 de marzo de 2021. 
  7. a b «Ransomware Activity Targeting the Healthcare and Public Health Sector». CISA. Consultado el 10 de marzo de 2021. 
  8. a b «Ryuk evolves into one of the most devastating ransomware threats». Rangeforce. Consultado el 10 de marzo de 2021. 
  9. a b «Ransomware cyberattack leaves behind damage on BCPS system». Yahoo! News. Consultado el 10 de marzo de 2021. 
  10. a b «Patients of a Vermont Hospital Are Left ‘in the Dark’ After a Cyberattack». The New York Times. Consultado el 10 de marzo de 2021. 
  11. «Cyberattack Disrupts Printing of Major Newspapers». The New York Times. Consultado el 10 de marzo de 2021. 
  12. «Computer virus freezes South Florida Sun Sentinel». Sun Sentinel. Consultado el 10 de marzo de 2021. 
  13. a b «Sopra Steria falls victim to Ryuk Ransomware». Secure Reading. Consultado el 10 de marzo de 2021. 
  14. «RansomExx Gang Target French Health Insurance Company in a Ransomware Attack». TechStreetnow. Consultado el 10 de marzo de 2021. 
  15. a b «What Hospitals Should Know About the Ryuk Ransomware Threat». Health Tech. Consultado el 10 de marzo de 2021. 
  16. «US hospitals brace for flood of Ryuk ransomware». Techhq. Consultado el 10 de marzo de 2021. 
  17. «Ransomware Attack Closes Baltimore County Public Schools». The New York Times. Consultado el 10 de marzo de 2021. 
  18. «Ransomware cripples Havre Public Schools computer system». Missoula Current. Consultado el 10 de marzo de 2021. 
  19. «Caution Advised as all Devices on the Network Can be Automatically Infected by Ryuk Ransomware». ArcTitan. Consultado el 10 de marzo de 2021. 
  20. «El principal sospechoso del ciberataque contra el SEPE es el virus de secuestro informático Ryuk». El País. Consultado el 10 de marzo de 2021. 
  21. «El SEPE sufre un ciberataque: el Servicio de Empleo deja de estar disponible y se retrasan gestiones como los ERTES o el paro». Xataka. Consultado el 10 de marzo de 2021. 
  22. «Tuit del Ministerio de Trabajo y Economía Social de España». Twitter. Consultado el 10 de marzo de 2021.