Ryuk, el Wannacry que Jerez ha puesto de moda

Wannacry es uno de esos nombres que no se olvidan, que terminan estando presentes en la mayoría de las conversaciones de seguridad. Fue el ransomware que en mayo de 2017 paralizó Telefónica, y que salió en los medios de comunicación generalistas. Fue el malware que despertó conciencias y movilizó más de un proyecto de seguridad guardado en un cajón. Años después, sigue siendo una de las principales amenazas de seguridad, utilizada una y otra vez porque la vulnerabilidad que explota no siempre se parchea.

Y la historia se repite con Ryuk, otro ransomware, pero que a diferencia de otros se utiliza en ataques dirigidos. Conocido desde hace más de un año por las empresas de seguridad, dicen de él que su esquema de cifrado está diseñado intencionalmente para operaciones a pequeña escala, de modo que solo infecta recursos cruciales de cada red objetivo y su distribución es llevada a cabo manualmente por los atacantes. “Su supuesta atribución a Lazarus Group puede implicar que los atacantes ya tienen mucha experiencia en este tipo de operaciones, como demostraron en el ciberataque a Sony Pictures en 2014” decía Check Point en un post publicado en agosto de 2018.

El ransomware tiene éxito porque funciona. Así de simple. Y funciona porque son muchas, demasiadas, las ocasiones en las que al final el rescate se paga. Y mucho más cómodo y sencillo cobrar, aunque sea en bitcoins, después de atacar, que andar vendiendo la información personal, o credenciales, o secretos empresariales robados. Dicen los últimos informes que el número de ataques de ransomware se han reducido, pero a cambio se han hecho más dirigidos y tienen mayor impacto. Además, los organismos públicos se han convertido en interesantes objetivos. En mayo de este año fue la ciudad de Baltimore, cuyo ayuntamiento permaneció bloqueado durante casi dos semanas por el impacto de un ransomware bautizado como RobbinHood; hace un año fue Atlanta, afectado por SamSam. En Estados Unidos, más acostumbrados a la transparencia, los ejemplos se suceden; Lake City, Florida, pagó 460.000 dólares en bitcoins este año; Riviera Beach, también en Florida, cerca de 600.000, mientras que en Jackson County (Georgia), unos 400.000 dólares.

El protagonista de esta semana es el Ayuntamiento de Jerez, como el pasado verano fueron los de Roquetas de Mar o Santurce. Su enemigo se llama Ryuk y ha llegado camuflado a través de un correo electrónico con un adjunto que alguien abrió sin saber que desencadenaría el caos, impidiendo el acceso a archivos alojados en más de 50 servidores y cuyo acceso ha quedado cifrado.

Como publicaba IT Digital Security en enero, Ryuk ha sido considerado un ransomware dirigido que busca un objetivo, ganando acceso al mismo a través de Servicios de Escritorio Remoto u otros métodos directos, como robo de credenciales, para de este modo hacerse con datos y servidores de alto perfil para obtener la mayor cantidad de rescate posible. Distintos informes señalan que sus autores han ganado cerca de 3,7 millones de dólares.

Aseguran desde el ayuntamiento de Jerez que no se ha pagado rescate alguno y no se han perdido datos mientras un equipo de expertos del Ministerio del Interior trabaja sin para limpiar los servidores y más de mil trescientos equipos cifrados los ciberdelincuentes.

Por cierto, según Coveware el rescate habitual asociado a Ryuk es de 145.000 dólares, aunque las víctimas a menudo pueden negociar un descuento del 60%. Sin embargo, algunas veces se parte de los 390.000 dólares, y sin descuento. Dice la firma de seguridad que tres empresas con las que trabajó se vieron obligadas a cerrar cuando no podían pagar y no tenían copias de seguridad de las que restaurar. Destacar también que la firma de seguridad CrowdStrike dijo en enero que los rescates de Ryuk habían acumulado 705.8 bitcoins en 52 transacciones separadas, generando 3,7 millones de dólares.