Hechos clave:
-
El ransomware puede distribuirse por sí solo y está concebido para atacar entornos empresariales.
-
Se han reportado pagos de 1,5 BTC para desencriptar archivos, incluso uno de 99 BTC.
El ransomware que ha afectado a empresas de consultoría, ayuntamientos y cadenas de radio en España se llama Ryuk y proviene de Rusia. El malware puede encriptar la base de datos de los computadores, propagarse por sí mismo y atacar entornos empresariales. El objetivo de los creadores y difusores de este virus es obtener unos cuantos bitcoins, extorsionando a las víctimas con la liberación de sus computadoras.
CriptoNoticias reportó este 4 de noviembre un ataque de ransomware que afectó a la empresa de consultoría Everis y la multinacional Prisa Radio. El Instituto Nacional de Ciberseguridad de España (INCIBE) no posee un número concreto de compañías españolas afectadas por este virus. No obstante, todo apunta a que se trata de un ataque planificado que puede propagarse con facilidad.
Al analizar un grupo de fotos tomadas a las computadoras infestadas, expertos de ciberseguridad especulan que el ataque ha sido llevado a cabo con el virus Ryuk, un malware que apareció por primera vez en Internet en agosto del 2018, encriptando los sistemas operativos de varios hospitales e instituciones en Estados Unidos.
pic supposedly posted by an #everis employee pic.twitter.com/fJaOtYmrTy
— Alex Barredo 📉 (@somospostpc) November 4, 2019
Según los investigadores del blog CrowdStrike, los creadores de este ransomware son un grupo de hackers rusos conocidos como Grim Spider. Los delincuentes se especializan en el fraude electrónico, así como en atacar grandes empresas. Debido a ello, se trata de un malware muy lucrativo, de bajo perfil y con objetivos concretos.
Silencioso y altamente lucrativo
Este ransomware, a diferencia de los desastrosos WannaCry y Petya, no está creado para contaminar computadoras de usuarios comunes. El objetivo de Ryuk son las empresas, destaca Sergio de los Santos, el especialista en ciberseguridad de Eleven Paths. «Es como un producto empresarial», define el experto, puesto que los hackers realizan ataques planificados que son muy difíciles de detectar.
La idea de los hackers con este ransomware no es afectar miles de computadoras, sino unas pocas empresas que necesitan sus sistemas para operar. En este sentido, se han reportado pagos mínimos de 1,5 BTC para desencriptar archivos y un monto máximo de 99 BTC por empresa. Mientras menos ataques se realizan y se planifica cuáles sistemas son más vulnerables al ransomware, más lucrativo resulta Ryuk para los hackers, señala De los Santos.
El modus operandi de Ryuk es muy parecido a otros ransomware, ya que puede difundirse gracias a troyanos escondidos en correos electrónicos. Asimismo, una nueva versión del malware puede propagarse por sí mismo utilizando las redes privadas de las empresas. Para ello posee un archivo conocido como Wake on LAN (WoL) que permite activar ordenadores si reciben una orden remota, expandiéndose así de una forma más rápida y silenciosa.
Si el virus logra penetrar una computadora vulnerable, encripta toda la base de datos y no da la clave hasta que la víctima realice el pago. Debido a que se trata de ataques especializados, los hackers dan sus correos electrónicos para negociar el pago. Los hackers también envían por un correo electrónico la clave para desencriptar los archivos, luego de verificar que se ha hecho efectiva la transacción en bitcoins.
Bugs y antecedentes
Sergio de los Santos confirmó que este ransomware ataca las vulnerabilidades de los escritorios remotos y servidores terminales. De esta manera pudo haberse filtrado este 04 de noviembre, debido a un fallo de seguridad en ciertos servidores de Microsoft, los cuales no habían sido actualizados por las empresas.
El especialista en ciberseguridad apunta que este tipo de ransomware es muy difícil de desencriptar por cuenta propia, por lo cual en la mayoría de los casos se tiene que pagar un rescate. «Tienes que pagar o perder. Debes analizar todo lo que te han robado, ver las consecuencias y decidir», concluyó.
Por otro lado, el experto en seguridad Breet Callow, de Emisoft, asegura que las nuevas versiones de este ransomware pueden tener ciertos errores que pueden ser explotados. En ciertos casos los bugs permiten descifrar los archivos sin necesidad de una clave. No obstante, también existe la posibilidad de que el error vuelva irrecuperables los archivos y los dañe para siempre. Debido a ello, se le recomienda a las víctimas de este ataque consultar previamente con especialistas antes de tomar una decisión definitiva.
Esta no es la primera vez que en España ocurre un ataque planeado con Ryuk. El pasado mes de octubre, varios ayuntamientos y organizaciones estatales quedaron inoperativos, luego de que este ransomware encriptara sus sistemas informáticos. Las redes secuestradas fueron las del Ayuntamiento de Jerez, el Ayuntamiento de Bilbao, la Fundación Hazi y el Ayuntamiento de Santurtzi. Aún no se sabe si estos últimos dos ataques en España están relacionados, ni mucho menos quién podría estar detrás de ellos.
