Hechos clave:
-
El ransomware puede distribuirse por sĆ solo y estĆ” concebido para atacar entornos empresariales.
-
Se han reportado pagos de 1,5 BTC para desencriptar archivos, incluso uno de 99 BTC.
El ransomware que ha afectado a empresas de consultorĆa, ayuntamientos y cadenas de radio en EspaƱa se llama Ryuk y proviene de Rusia. El malware puede encriptar la base de datos de los computadores, propagarse por sĆ mismo y atacar entornos empresariales. El objetivo de los creadores y difusores de este virus es obtener unos cuantos bitcoins, extorsionando a las vĆctimas con la liberaciĆ³n de sus computadoras.
CriptoNoticias reportĆ³ este 4 de noviembre un ataque de ransomware que afectĆ³ a la empresa de consultorĆa Everis y la multinacional Prisa Radio. El Instituto Nacional de Ciberseguridad de EspaƱa (INCIBE) no posee un nĆŗmero concreto de compaƱĆas espaƱolas afectadas por este virus. No obstante, todo apunta a que se trata de un ataque planificado que puede propagarse con facilidad.
Al analizar un grupo de fotos tomadas a las computadoras infestadas, expertos de ciberseguridad especulan que el ataque ha sido llevado a cabo con el virus Ryuk, un malware que apareciĆ³ por primera vez en Internet en agosto del 2018, encriptando los sistemas operativos de varios hospitales e instituciones en Estados Unidos.
pic supposedly posted by an #everis employee pic.twitter.com/fJaOtYmrTy
— Alex Barredo š (@somospostpc) November 4, 2019
SegĆŗn los investigadores del blog CrowdStrike, los creadores de este ransomware son un grupo de hackers rusos conocidos como Grim Spider. Los delincuentes se especializan en el fraude electrĆ³nico, asĆ como en atacar grandes empresas. Debido a ello, se trata de un malware muy lucrativo, de bajo perfil y con objetivos concretos.
Silencioso y altamente lucrativo
Este ransomware, a diferencia de los desastrosos WannaCry y Petya, no estĆ” creado para contaminar computadoras de usuarios comunes. El objetivo de Ryuk son las empresas, destaca Sergio de los Santos, el especialista en ciberseguridad de Eleven Paths. Ā«Es como un producto empresarialĀ», define el experto, puesto que los hackers realizan ataques planificados que son muy difĆciles de detectar.
La idea de los hackers con este ransomware no es afectar miles de computadoras, sino unas pocas empresas que necesitan sus sistemas para operar. En este sentido, se han reportado pagos mĆnimos de 1,5 BTC para desencriptar archivos y un monto mĆ”ximo de 99 BTC por empresa. Mientras menos ataques se realizan y se planifica cuĆ”les sistemas son mĆ”s vulnerables al ransomware, mĆ”s lucrativo resulta Ryuk para los hackers, seƱala De los Santos.
El modus operandi de Ryuk es muy parecido a otros ransomware, ya que puede difundirse gracias a troyanos escondidos en correos electrĆ³nicos. Asimismo, una nueva versiĆ³n del malware puede propagarse por sĆ mismo utilizando las redes privadas de las empresas. Para ello posee un archivo conocido como Wake on LAN (WoL) que permite activar ordenadores si reciben una orden remota, expandiĆ©ndose asĆ de una forma mĆ”s rĆ”pida y silenciosa.
Si el virus logra penetrar una computadora vulnerable, encripta toda la base de datos y no da la clave hasta que la vĆctima realice el pago. Debido a que se trata de ataques especializados, los hackers dan sus correos electrĆ³nicos para negociar el pago. Los hackers tambiĆ©n envĆan por un correo electrĆ³nico la clave para desencriptar los archivos, luego de verificar que se ha hecho efectiva la transacciĆ³n en bitcoins.
Bugs y antecedentes
Sergio de los Santos confirmĆ³ que este ransomware ataca las vulnerabilidades de los escritorios remotos y servidores terminales. De esta manera pudo haberse filtrado este 04 de noviembre, debido a un fallo de seguridad en ciertos servidores de Microsoft, los cuales no habĆan sido actualizados por las empresas.
El especialista en ciberseguridad apunta que este tipo de ransomware es muy difĆcil de desencriptar por cuenta propia, por lo cual en la mayorĆa de los casos se tiene que pagar un rescate. Ā«Tienes que pagar o perder. Debes analizar todo lo que te han robado, ver las consecuencias y decidirĀ», concluyĆ³.
Por otro lado, el experto en seguridad Breet Callow, de Emisoft, asegura que las nuevas versiones de este ransomware pueden tener ciertos errores que pueden ser explotados. En ciertos casos los bugs permiten descifrar los archivos sin necesidad de una clave. No obstante, tambiĆ©n existe la posibilidad de que el error vuelva irrecuperables los archivos y los daƱe para siempre. Debido a ello, se le recomienda a las vĆctimas de este ataque consultar previamente con especialistas antes de tomar una decisiĆ³n definitiva.
Esta no es la primera vez que en EspaƱa ocurre un ataque planeado con Ryuk. El pasado mes de octubre, varios ayuntamientos y organizaciones estatales quedaron inoperativos, luego de que este ransomware encriptara sus sistemas informĆ”ticos. Las redes secuestradas fueron las del Ayuntamiento de Jerez, el Ayuntamiento de Bilbao, la FundaciĆ³n Hazi y el Ayuntamiento de Santurtzi. AĆŗn no se sabe si estos Ćŗltimos dos ataques en EspaƱa estĆ”n relacionados, ni mucho menos quiĆ©n podrĆa estar detrĆ”s de ellos.