NUEVO RANSOMWARE RYUK, POSIBLEMENTE DERIVADO DEL HERMES, DEL GRUPO COREANO LAZARUS

Se estima que el grupo responsable del ransomware Ryuk puede haber obtenido cerca de 700 BTC, más de dos millones de euros.

Ryuk

Este ransomware empezó a detectarse a finales del verano de 2018, siendo utilizado principalmente en campañas dirigidas hacia empresas. No muestra capacidades técnicas sofisticadas ni ha sido detectado en campañas masivas de spam. De modo que requiere de una distribución manual por parte de los atacantes debido a que su esquema de cifrado está diseñado para operaciones a pequeña escala, por lo que es necesario un extenso mapeo de las redes y una recolección de credenciales dedicada previas a la infección. Esta estrategia de ataque hacia unos pocos objetivos concretos dificulta el rastreo de la actividad económica del atacante, pero la selección de empresas con gran capacidad de pago ha permitido a los atacantes atesorar ya más del equivalente a dos millones de euros en bitcoins.

Las similitudes de código entre Ryuk y Hermes hacen sospechar que este nuevo ransomware puede es un derivado del código fuente de Hermes, y por tanto, podría ser una creación del grupo norcoreano Lazarus. Aunque también se sospecha que el grupo Grim Spider podría estar detrás de Ryuk, dado que algunos ataques realizados con este rasomware han sido realizados en asociación con TrickBot. Tanto Ryuk como Hermes seleccionan los archivos a encriptar de forma similar y son capaces de: encriptar usando RSA-2048 y AES-256, almacenar las claves en un ejecutable usando el formato propietario de Microsoft SIMPLEBLOB, encriptar los dispositivos montados y los servidores remotos, y usan el mismo marcador de archivos para verificar qué archivos están ya encriptados.

Sin embargo, Ryuk parece haber sido diseñado para atacar exclusivamente a empresas, por lo que entre sus modificaciones se incluye la capacidad de terminar varios procesos y servicios como los antivirus, las copias de seguridad y otros programas; además de la capacidad de destruir su clave de cifrado y eliminar todas las copias de seguridad de una máquina específica. Otra diferencia significativa entre Ryuk y Hermes reside en la lógica usada por Ryuk para el acceso a archivos, el uso de una segunda clave RSA pública y el modo de creación de las claves de cifrado.

Hasta ahora, los ataques de Ryuk han afectado a cientos de PC, almacenamiento y centros de datos de las empresas infectadas. Hay constancia de que se han lanzado ataques contra empresas canadienses y estadounidenses de diversos sectores, desde la restauración, hasta el equipamiento médico, incluyendo algunos de los principales medios de prensa escrita de EE.UU.

 

 

Ver información original al respecto en Fuente:

 

NOTA IMPORTANTE: El ransomware RYUK infecta tras días, semanas o incluso un año, después de haber sido infectado previamente por un malware separado como el TRICKBOT.

saludos

ms, 21-1-2019

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies