El ransomware Ryuk

Con el nombre de un personaje de anime ficticio, Ryuk es una importante cepa de ransomware utilizada por varios grupos APT en campañas de caza mayor dirigidas a cientos de organizaciones estadounidenses y mundiales desde 2017. Los ataques de ransomware de Ryuk exigen una media de aproximadamente diez veces más rescate que otras cepas, han extorsionado a sus víctimas por valor de cientos de millones de dólares en Bitcoin (BTC) y representan aproximadamente el 20 % de todas las infecciones de ransomware del mundo, lo que la convierte en una prolífica cepa de ransomware.

Aunque inicialmente se atribuyó a Corea del Norte, la actividad de Ryuk se asocia principalmente con grupos cibercriminales de habla rusa, entre los que se incluyen Wizard Spider, FIN6, Lazarus Group, APT38 y TEMP.Mixmaster, y UNC1878. El hecho de que Ryuk eliminara las restricciones de su predecesor Hermes sobre el cifrado de extensiones de archivo comúnmente utilizadas por el software ruso es otra señal de que Ryuk tiene su origen en la ciberdelincuencia rusa.

Aunque Ryuk no se anuncia públicamente como ransomware como servicio (RaaS), su código fuente se vende en foros de la Dark Web a grupos que lo personalizan para sus propias operaciones RaaS. Esto ha dado lugar a numerosas variantes de Ryuk con diversas capacidades ampliadas para la identificación de datos sensibles, la exfiltración de datos y el movimiento lateral.

Ryuk se derivó del ransomware Hermes 2.1 detectado por primera vez en 2017 y todavía comparte parte del código original de Hermes. Una vez desplegado, Ryuk establece la persistencia añadiendo una clave de ejecución en el registro de Windows, se inyecta en procesos en ejecución para escalar privilegios y detiene procesos conocidos de software antivirus, bases de datos y servicios de copia de seguridad. 

Las primeras versiones de Ryuk eran funcionalmente limitadas y carecían de capacidades de primera fase, exfiltración de datos y penetración lateral. Por ello, Ryuk se ha utilizado normalmente junto con otros conjuntos de herramientas de malware con funciones de ataque complementarias. Sin embargo, en 2021 se identificó una versión de Ryuk con capacidades similares a las de un gusano y la capacidad de enviar señales wake-on-LAN a dispositivos de red adyacentes, lo que permitía a Ryuk activar remotamente sistemas accesibles desde la red en modo de espera/suspensión.

Se han utilizado varios vectores de infección conocidos para desplegar el ransomware Ryuk a lo largo de su vida útil:

Trickbot -> Ryuk: Trickbot apoya los objetivos de los atacantes, como propagarse por la red de la víctima y robar datos confidenciales, lo que termina en un ataque de ransomware Ryuk. Los ataques TrickBot que despliegan Ryuk disminuyeron significativamente a principios de 2020.

Emotet -> Trickbot -> Ryuk: Las infecciones de malwarebasadas en Emotet siguieron distribuyendo Trickbot y Ryuk hasta septiembre de 2020.

BazarLoader -> Ryuk: BazarLoader (también conocido como BazarBackdoor) es un malware de primera etapa que despliega una carga útil de comando y control (C2) de segunda etapa para penetrar en las redes de los objetivos en busca de activos de alto valor que exfiltrar y cifrar. Los atacantes llevan desplegando Ryuk a través de BazarLoader desde aproximadamente mediados de 2020.

Buerloader -> Ryuk: Buer (también conocido como RustyBuer) es un malware de primera fase que se vende como malware como servicio en la Dark Web y que sustituyó a la cadena de infección Ryuk basada en Emotet a finales de 2020.

SilentNight -> Ryuk: SilentNight es una variante del malware Zeus/Zloader utilizada para distribuir el ransomware Ryuk desde 2020. 

Para su función principal de rescate de archivos, Ryuk selecciona un módulo de cifrado de 32 o 64 bits en función del host infectado y emplea un esquema criptográfico combinado de clave pública AES-256 y RSA para cifrar los archivos de la víctima. Ryuk también elimina todos los archivos de copia de seguridad y las instantáneas de volumen para impedir que las víctimas recuperen sus archivos a través de las funciones del sistema Windows. Para garantizar que las víctimas puedan encontrar la nota de rescate y ponerse en contacto con los atacantes para pagar el rescate, Ryuk evita cifrar los archivos del sistema Windows y los navegadores de Internet. Por último, Ryuk oculta eficazmente su actividad y protege su carga útil de ser descubierta y analizada eliminando su carga útil y artefactos una vez finalizado el proceso de cifrado.

• Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
• Garantizar que las actualizaciones y los parches de seguridad se aplican en todo el entorno informático, incluidos los productos de seguridad, los sistemas operativos y las aplicaciones.
• Implantar controles de acceso estrictos basados en el principio del mínimo privilegio y exigir la autenticación multifactor (AMF) en todos los activos.
• Instalar y mantener totalmente actualizados los dispositivos de seguridad de detección y prevención de intrusiones (IDS/IPS) para detectar comportamientos anómalos en la red.
• Implantar herramientas modernas de gestión de identidades y accesos (IAM)
• Instalar y configurar productos avanzados de Endpoint Security en todos los puestos finales para detectar indicadores de peligro (IOC) y tomar medidas defensivas para bloquear la ejecución de archivos maliciosos.
• Utilizar dispositivos de seguridad de red como IDS y cortafuegos de última generación para reforzar aún más la red y segmentar los sistemas críticos en una VLAN o dominio de Windows independientes.
• Desarrollar y mantener una sólida estrategia de copias de seguridad y planes de respuesta a incidentes para garantizar la resistencia frente a los ataques de ransomware.