Su germen se encuentra en el proyecto Hermes que surgió allá por 2017.
Ryuk fue desarrollado por un grupo llamado CrytoTech y comenzó a ponerse a la venta, dentro del mercado ilegal de Internet, al precio de 300 USD. Inicialmente ofrecía claves de cifrado para un solo uso que respondían a “un modelo de licenciamiento para ataques dirigidos a empresas preseleccionadas”.
Con posterioridad, evolucionó a una nueva versión y cambió definitivamente su nombre. Esta nueva versión, llamada finalmente Ryuk, fue detectada por primera vez en agosto de 2018 . Y desde entonces no ha dejado de “estar en el radar” de numerosos grupos de investigación.
Propagación
Se ha comprobado que se propaga a través del sistema de ficheros del equipo infectado y que cifra toda la información relevante que encuentra a su paso, utilizando para ello una pareja de claves RSA de 2048 bits que está asociada unívocamente a su ejecución.
Su particularidad reside en que es capaz de infectar otros equipos, explotando vulnerabilidades del servicio RDP o utilizando los mecanismos de compartición de recursos con otros servidores.
Para la propagación del malware se utilizan las tablas ARP de los equipos, así como un Ping Scanner que le permite identificar otros dispositivos a los que se encuentra conectado.
Una particularidad de este tipo de ransomware es que puede de infectar equipos aparentemente apagados —en stand-by o hibernados— a través de un mecanismo conocido como Wake-on-LAN y que se encarga de encender remotamente el equipo y propagar su efecto.
El resultado final es que la compañía víctima del ataque verá cómo todos sus sistemas quedan bloqueados/cifrados, sin posibilidad de continuar con su actividad normal.
Pero no solo eso, sino que además abre la posibilidad al robo de información lo que podría traer consigo consecuencias para terceras partes e incluso legales para la propia compañía en caso de no haber tomado las medidas de protección previstas en el RGPD.
Su relación con Emotet y Trickbot
El mecanismo de infección del ransomware está relacionado con otros dos malwares más conocidos, como Emotet y Trickbot. Y aquí debemos hacer un inciso.
Tanto Emotet como Trickbot son dos APT que permiten la descarga remota de ficheros y por tanto la infección de los sistemas de forma masiva. El primero, de alguna forma, sería el responsable de la descarga del segundo, que a su vez se encargaría de preparar el entorno para facilitar la ejecución de Ryuk.
Vector de ataque
Básicamente el principal vector de ataque —aunque hay casos que apuntan a vulnerabilidades en routers de la marca MikroTik— comenzaría por un correo electrónico que llevaría adjunto un fichero.
Una macro de Word permitiría ejecutar un pequeño programa en PowerShell que completaría la primera etapa con la descarga de Emotet. Este malware, una vez ejecutado, sería el encargado —desde servidores habilitados ex profeso— de recuperar e instalar Trickbot, completando la segunda etapa.
La ejecución de este nuevo malware posteriormente habilitaría las condiciones adecuadas para la propagación de Ryuk. Para ello, llevaría a cabo las siguientes actividades: (1) desactivar el servicio de anti-virus del equipo, (2) robar contraseñas de usuarios clave y (3) filtrar información al exterior.
En ese contexto, Ryuk podría actuar casi con total libertad y navegar a través del sistema de ficheros. Se propagaría a otros equipos, y por supuesto cifraría la información que considerara relevante — los ficheros cifrados pasarán a tener una extensión “.Ryk” para quedar claramente identificados.
El resultado final será que el equipo tendrá toda su información importante inutilizada, cuando no incluso filtrada al exterior. Y a partir de aquí comenzará la pesadilla para la compañía víctima del ataque.
Un mensaje invitará a contactar con una o dos direcciones de correo electrónico de Proton Mail — un servicio de mensajería seguro— para el pago del rescate. Esta es una diferencia con otros ransomware que ofrecen una página web a la que conectarse dentro de la Dark Web.
Consecuencias del ataque
Las consecuencias del ataque de Ryuk —al menos en España a finales de 2019— han sido ampliamente divulgadas en medios de comunicación.
Compañías importantes e instituciones públicas tuvieron que deshabilitar sus servicios tanto internos como públicos. Apagaron todos sus puestos de trabajo y mandaron a los empleados a casa sin posibilidad de conectarse a la red interna.
Los costes económicos y de reputación han sido importantes, poniendo en evidencia la criticidad que tiene para una organización la seguridad de sus servicios informáticos y de comunicaciones.
Respecto al pago de rescates, poco se sabe. La recomendación es no hacerlo. Antes, al contrario, lo aconsejable es implementar medidas de análisis forense mientras se define el plan de recuperación adecuado.
En el caso de Ryuk se ha visto que incluso aquellas compañías que habían decidido pagar el rescate —y a las que se les había proporcionado el mecanismo de descifrado correspondiente— tuvieron problemas para recuperar la información cuando los ficheros eran de un tamaño superior a 50 MB. Todo ello, por supuesto, sin mencionar la espiral de chantajes sucesivos a la que se exponían a caer en el futuro.
Cómo se combate
Si observamos los patrones de comportamiento de este tipo de amenazas, fácilmente podemos identificar elementos y puntos de control que pueden contribuir a evitar su propagación. Básicamente es la misma idea que reside en el concepto de CKC —Cyber Kill Chain.
Cuanto antes seamos capaces de reconocer una posible amenaza, antes podremos detener su propagación. Y para eso, debemos estar preparados para luchar en cada una de las siete etapas por las que habitualmente pasa un ataque: Reconocimiento, Preparación, Distribución, Explotación, Instalación, Comando & Control y Acciones dirigidas.
Sistemas de firewalls, filtrado de correos, servicios de protección de puestos de trabajo basados en análisis de comportamiento, mecanismos robustos de gestión de identidad, elementos de monitorización de red, etc. son básicos.
Sin embargo, no son menos importantes los servicios profesionales de compañías especializadas. Al final, productos y servicios con personal experto deben combinarse para detectar las amenazas, detenerlas, distraerlas con entornos acotados mientras se estudia cómo combatirlas. Llegado el caso, se tendrá que recurrir a mecanismos de recuperación si ninguna de las acciones anteriores ha sido efectiva.
Recomendaciones
Si nos referimos específicamente a Ryuk, podemos dar algunas recomendaciones. Se trata de recomendaciones que serían extrapolables a la gran mayoría de los ataques de ransomware que habitualmente observamos:
- Sensibilice a los empleados en materia de ciberseguridad. El phishing es el mecanismos más rápido y sencillo de infiltrarse en una organización. A través del correo electrónico se produce la gran mayoría de los ataques no dirigidos, por eso resulta fundamental implementar un buen mecanismo de filtrado de correos, sobre todo en aquellos mensajes que tienen ficheros adjuntos.
- Implemente una gestión de usuarios robusta con mecanismos de doble autenticación y una gestión de privilegios bien definida. Trate de proteger las cuentas de administrador de todos los elementos de su compañía evitando que estén accesibles a muchos usuarios.
- Reduzca al mínimo imprescindible el uso de RDP y por supuesto cierre la sesión una vez terminado. Mantenga actualizado su software con las últimas versiones y parches.
- Deshabilite la compartición de carpetas allá donde no sea necesario, con ello reducirá la posibilidad de movimientos laterales del ransomware.
- Mantenga desactivado el servicio de macros de sus aplicaciones de ofimática.
- Y finalmente, disponga de copias de seguridad actualizadas para ser recuperadas en caso de necesidad.
No son tareas complejas y solo muestran una pequeña parte de las medidas a tomar para afrontar este tipo de ataques.