Ryuk, el ransomware sucesor de HERMES que ya ha recaudado más de 600.000 dólares
- Vulnerabilidades
Al menos tres grandes compañías en Estados Unidos se han visto afectadas por la última amenaza creada por profesionales del ransomware.
|
También puedes leer... |
Ryuk es un ransomware que está atacando a organizaciones de todo el mundo a través de ataques dirigidos, con unas capacidades técnicas relativamente bajas pero que se calcula que ya ha sido capaz de recaudar más de 640.000 dólares.
Una investigación de Check Point comparó la estrategia de Ryuk con HERMES, un malware comúnmente atribuido al famoso Lazarus Group de Corea del Norte, que también se usó en ataques dirigidos masivos. Esto lleva a pensar que la ola actual de Ryuk puede ser obra de sus creadores o del trabajo de un ciberdelincuente que ha obtenido su código fuente.
A diferencia del ransomware común, distribuido a través de campañas masivas de spam, Ryuk se utiliza exclusivamente para ataques dirigidos. De hecho, su esquema de cifrado está diseñado intencionalmente para operaciones a pequeña escala, de modo que solo infecta recursos cruciales de cada red objetivo y su distribución es llevada a cabo manualmente por los atacantes.
Esto significa que se requiere un mapeo extenso de redes, piratería y recolección de credenciales antes de cada operación.
Ayúdanos a conocer cuáles son las tendencias tecnológicas que se impondrán en la empresa el próximo año y más allá, y cómo se está construyendo el futuro digital.
Ryuk vs HERMES
El ransomware HERMES se hizo conocido en octubre de 2017, cuando se utilizó como parte del ciberataque dirigido contra el Far Eastern International Bank (FEIB) de Taiwán. En esa operación, atribuida al Lazarus Group, se robaron 60 millones de dólares en un sofisticado ataque al SWIFT, aunque luego se recuperaron.
En el caso de Ryuk, sin embargo, no hay duda de que sus ataques de las últimas dos semanas no son algo secundario.
Al igual que su antecesor, Ryuk solo se ha utilizado en ataques dirigidos, lo que hace que sea mucho más difícil rastrear las actividades e ingresos del autor del malware. Casi cada aparición del malware utilizó una billetera única. Poco después de que se realizara el pago del rescate, los fondos se dividieron para después transferirse a través de muchas otras cuentas.
Sin embargo, al examinar las transacciones de divisas de la billetera proporcionada en la nota de rescate, se expuso un patrón que permitió ubicar las carteras que muy probablemente se utilizarían para la monetización. El equipo de Check Point también detectó una conexión entre estas billeteras, ya que los fondos que se les pagaron se transfirieron a varias billeteras clave. Esto puede indicar que actualmente se está llevando a cabo una operación coordinada, en la que varias empresas fueron cuidadosamente escogidas para utilizar el ransomware Ryuk.
