En 2019, el ransomware era uno de los grandes protagonistas del cibercrimen. Empresas y organismos oficiales en todo el mundo se vieron afectados por ciberataques que usaban esta modalidad de cibercrimen para cifrar sus archivos y pedir un rescate. Estas oleadas de ransomware empleaban una gama de variantes para llevar a cabo estos ataques. Sin embargo, hay una variante que se empleaba entonces, y que se sigue viendo hoy en día, que destacaba por la frecuencia de su uso: Ryuk.
Ryuk es una de las variantes de ransomware más notorias de los últimos años. Desde que apareció por primera vez en verano de 2018, ha cosechado una lista impresionante de víctimas, especialmente en los entornos empresariales, que es donde centra principalmente sus ataques.
A mediados de 2019, un gran número de importantes empresas españolas sufrieron ataques graves que hicieron uso de Ryuk para cifrar sus sistemas. Entre las empresas afectadas desempeñaban su actividad en distintos sectores y eran de distintos tamaños, como por ejemplo Everis y varios ayuntamientos.
España no es el único país que ha sufrido a manos de este ransomware; los países más afectados por Ryuk son Alemania, China, Argelia y la India. En los últimos tres años, Ryuk ha afectado a millones de usuarios, comprometiendo gran cantidad de datos y derivando en importantes pérdidas económicas.
Cómo actúa Ryuk
Siguiendo el modus operandi del resto de ransomware, al acabar el cifrado de los archivos de sus víctimas, Ryuk deja una nota de rescate que indica que, para recuperar los archivos, es necesario realizar un pago de bitcoins contactando con la dirección indicada.
En la muestra analizada por Panda Security, Ryuk llegó a los sistemas a través de una conexión en remoto lograda en un ataque RDP. El actor malicioso logró iniciar sesión de forma remota. Una vez que logró iniciar la sesión, creó un ejecutable con la muestra.
Ryuk, como otros malware, trata de quedarse en nuestro sistema el mayor tiempo posible. Uno de sus sistemas para lograrlo es crear ejecutables y lanzarlos en oculto. Para poder cifrar los archivos de la víctima, también requiere tener privilegios. Por lo general, Ryuk parte de un movimiento lateral o es lanzado por otro malware, como Emotet o Trickbot. Estos se encargan de escalar privilegios previamente para otorgarlos al ransomware.
Cómo protegerte de Ryuk
Ryuk tiene una letanía de trucos para entrar, ganar persistencia y cifrar los archivos de sus víctimas. Como es el caso con todo el ransomware, si no cuentas con las protecciones adecuadas y no sigues las pautas apropiadas, esta amenaza puede ser difícil de contener.
Panda Security aborda este problema con una combinación de protección avanzada en el endpoint en su solución Panda Adaptive Defense, con sus capacidades de EDR, su monitorización de todos los endpoints en el sistema y su servicio de clasificación del 100% de los procesos. Se basa en un enfoque de confianza cero: cualquier proceso o aplicación desconocido se bloquea hasta que sea analizado. De este modo es capaz de parar cualquier amenaza antes de que pueda ejecutarse, incluso los ataques más avanzados, como Ryuk.
Descubre más sobre los detalles técnicos de Ryuk en nuestro informe sobre este ransomware, elaborabo por PandaLabs: