Una de las noticias de tendencia de este marzo 2021, ha sido: la caída del SEPE por culpa de un ciberataque. Un ransomware llamado Ryuk que ha conseguido traspasar las barreras de ciberseguridad del Servicio Público de Empleo Estatal, poniendo en evidencia las vulnerabilidades y brechas de seguridad del sistema, y advirtiendo de que ninguna empresa está exempta de él.
Pero sin duda, uno de los principales factores que provocaron la entrada de ransomware en el SEPE fueron las escasas medidas de seguridad y la de tener sistemas operativos desactualizados y antiguos.
Una de las preocupaciones principales de los hackers (recordemos que los hackers son los buenos de la película y los ciberdelincuentes los malos) o especialistas en ciberseguridad es que tiene un estilo de ataque único, y es que este personaliza su ataque en función de la víctima, asegurando un alto porcentaje de éxito.
Ryuk es la versión mejorada del ransomware Hermes. Este identifica y cifra los dispositivos de red junto con la eliminación de instantáneas almacenadas en los puntos finales.
Ryuk es más lucrativo que Hermes. Se dirige a grandes organizaciones y agencias gubernamentales que terminan pagando grandes cantidades de dinero por la recuperación de sus sistemas.
Además, como particularidad o curiosidad, los atacantes de Ryuk han extorsionado más de diez veces el rescate de malware promedio, lo que lo convierte en el malware “más caro” de su naturaleza. Un pago de rescate medio fue de 71.000 dólares en bitcoin. Eso fue inferior a la demanda de apertura de los atacantes de Ryuk de 145.000 dólares en la criptomoneda.
Ryuk está diseñado para lanzarse contra empresas y organizaciones específicas y que puedan provocar una gran paralización en el día a día de la población, como por ejemplo hospitales, puertos, etc.
Un ransomware perfectamente diseñado para operaciones a pequeña escala. Esto significa que solo encripta aquellos datos e información más confidencial y crítica para la organización. Por tanto, se puede ver claramente que este ciberataque se lanza manualmente.
Su peligrosidad viene dada por dos características:
Persistencia: Una vez ejecutado el ransomware, la carga principal intenta detener los procesos y servicios relacionados con el antivirus. Para ello, utiliza una lista preconfigurada para eliminar más de 40 procesos específicos y 180 servicios con los comandos taskkill y netstop. Además, la carga útil principal establece la persistencia en el registro e inyecta cargas maliciosas en varios procesos en ejecución.
Cifrado: Ryuk utiliza algoritmos de cifrado RSA y AES irrompibles con tres claves. Así pues, Ryuk escanea los sistemas infectados y cifra casi todos los archivos, directorios, recursos de la red, unidades, etc.
Se trata de un ransomware que funciona por pasos, por eso es tan letal.
Todo comienza con correos electrónicos infectados de malware (phishing). Cuando un usuario clica en dicho correo infectado, bots como TrickBot y Emotet dan acceso directo a la red de la víctima y comienzan a extenderse lateralmente a través de la red, implementando el ransomware Ryuk.
Entre la propagación de los bots y el despliegue de Ryuk hay un retraso que permite a Emotet y Trickbot robar información confidencial, lo que hace que las empresas y organizaciones sean vulnerables incluso antes de ser atacadas por este ransomware.
Una vez implementado Ryuk en el sistema, se hace una comprobación de si éste es adecuado para él. Para ello, se utiliza la configuración binaria que funciona como un algoritmo fijo. En el primer paso de identificación del sistema, se ejecuta un módulo (32 bits o 64 bits) y según los resultados, en este segundo paso, se eliminan las versiones de malware que se adapta al sistema y lo ejecuta con ShellExecuteW.
Una vez se encuentra el sistema adecuado para el ataque, los ciberdelincuentes cargan dos archivos dentro de una subcarpeta del directorio:
PÚBLICO: clave pública RSA
UNIQUE_ID_DO_NOT_REMOVE: Clave codificada
Realizado este proceso, Ryuk comienza el proceso de encriptación. Para ello, recorre los sistemas de archivos y sus unidades conectadas para iniciar el cifrado utilizando WNetOpenEnum y WNetEnumResource. Una vez los archivos han sido cifrados, su clave de encriptación es destruída para que no se pueda recuperar.
Ryuk inyecta su código en varios procesos remotos. Usando los comandos taskkill y netstop crea una lista preconfigurada de 40 procesos y 180 servicios que se eliminan.
La nota de ransomware que se envía a las empresas y organizaciones atacadas para obtener el rescate, se escribe en un archivo conocido como RyukReadMe.txt. Y el rescate que se pide varía en función del tipo de organización.
Para poder detectar Ryuk en tu sistema, es importante supervisar la actividad de archivos y carpetas antes. Para ello, una de las formas más sencillas es monitorizar el tráfico de red que va y viene de tus servidores.
Hecho esto, puedes usar una herramienta para extraer metadatos. Pero aparte de monitorizar el tráfico asociado a tus servidores de archivo, también es recomendable monitorizar el tráfico en el perímetro de tu red, puesto que este ransomware necesita comunicación con el mundo exterior, por tanto, tener visibilidad en el borde de la red es importante para detectarlo.
Algunos aspectos a tener en cuenta o que deberías vigilar:
El cambio de nombre frecuente de archivos compartidos: Cambiar los nombres de los archivos en unidades compartidas no es algo muy común. Si estos empiezan a cambiar de forma masiva, ponte en alerta.
Fíjate bien en las extensiones de tus archivos: Si alguno lleva la extensión .RYK, tendla controlada, porque puede ser que Ryuk lo haya cifrado. Y por lo tanto, todos los archivos alrededor y de los mismos sistemas quedarán encriptados también. Si te das cuenta solo de uno significa o bien que está en proceso o que uno de los sistemas de prevención como el antivirus lo ha parado.
Verifica los recursos compartidos de la red en busca de notas de rescate.
La formación y concienciación de tus empleados será clave, puesto que el factor humano es una de las principales causas de la entrada de malware en los sistemas.
Por ejemplo, en ESED lo que hacemos es entrenar a equipos de empresas para que sepan detectar ataques de phishing a tiempo y evitar la activación de un ransomware en su sistema.
Además, la monitorización de sistemas mediante la búsqueda de brechas de seguridad y vulnerabilidades en tu sistema será clave para evitar la entrada de malware. Para ello, uno de los sistema que utilizamos nosotros, es lanzar ataques controlados contra un sistema, para conocer sus vulnerabilidades. Porque la mejor manera de detectar ciberataques es actuar y pensar como un ciberdelincuente.
Otra manera de evitar la infección de sistemas es mediante la implementación de soluciones de ciberseguridad como firewalls, endpoints o soluciones antiphishing. También es importante contar con copias de seguridad o backups para poder recuperar la información de forma inmediata tras un ataque, sin caer en los chantajes de los ciberdelincuentes, que no siempre te aseguran que vayas a recuperar la información.
Para información más detallada de estas soluciones o de cómo proteger tu empresa de forma personalizada, puedes contactar con nosotros.