Check Point ha informat que en les últimes dues setmanes Ryuk, un ransomware dirigit, ha atacat a diverses organitzacions a tot el món. Fins ara, la campanya s’ha centrat en empreses, afectant a centenars d’ordinadors, servidors i centres de dades en cada organització infectada.
Les capacitats tècniques del ransomware són relativament baixes, però tot i així ha aconseguit impactar en almenys tres grans companyies de tot el món. A més, algunes empreses van pagar un rescat excepcionalment gran per recuperar els seus arxius. Tot i que la quantitat del rescat en si varia entre les víctimes (entre 15 i 50 bitcoins), ja s’ha pagat als ciberdelinqüents més de 640.000 dòlars.
Curiosament, la investigació va portar els experts de Check Point a seguir l’estratègia de Ryuk i comparar alguns dels seus mecanismes interns amb el ransomware HERMES, un malware comunament atribuït al famós Lazarus Group de Corea del Nord, que també es va usar en atacs dirigits massius . Això porta a pensar que l’onada actual de Ryuk pot ser obra dels seus creadors o del treball d’un ciberdelinqüent que ha obtingut el seu codi font.
Una visió general de Ryuk
A diferència del ransomware comú, distribuït a través de campanyes massives d’spam, Ryuk s’utilitza exclusivament per a atacs dirigits. De fet, el seu esquema de xifrat està dissenyat intencionalment per a operacions a petita escala, de manera que només infecta recursos crucials de cada xarxa objectiu i la seva distribució és duta a terme manualment pels atacants.
En aquest cas es requereix un mapeig extens de xarxes, pirateria i recol·lecció de credencials abans de cada operació. La seva suposada atribució a Lazarus Group pot implicar que els atacants ja tenen molta experiència en aquest tipus d’operacions, com van demostrar en el ciberatac a Sony Pictures en 2014.
Ryuk vs HERMES
El ransomware HERMES es va fer conegut a l’octubre de 2017, quan es va utilitzar com a part del ciberatac dirigit contra el Far Eastern International Bank (FEIB) de Taiwan. En aquesta operació, atribuïda al Lazarus Group, es van robar 60 milions de dòlars en un sofisticat atac al SWIFT, encara que després es van recuperar.
En el cas de Ryuk, però, no hi ha dubte que els seus atacs de les últimes dues setmanes no són alguna cosa secundaria. De fet, amb el pagament d’un rescat tan alt com van sol·licitar, aquest malware està rebent la repercussió adequada entre els seus objectius o, millor dit, les seves víctimes.
Seguint els diners
El ransomware Ryuk no s’ha distribuït àmpliament. Igual que el seu antecessor, HERMES, només s’ha utilitzat en atacs dirigits, el que fa que sigui molt més difícil rastrejar les activitats i ingressos de l’autor del malware. Gairebé cada aparició del malware va utilitzar una cartera única. Poc després que es realitzés el pagament del rescat, els fons es van dividir per després transferir-se a través de moltes altres comptes.
No obstant això, en examinar les transaccions de divises de la cartera proporcionada a la nota de rescat, es va exposar un patró que ens va permetre ubicar les carteres que molt probablement s’utilitzarien per a la monetització. L’equip de Check Point també va detectar una connexió entre aquestes carteres, ja que els fons que se’ls van pagar es van transferir a diverses carteres clau. Això pot indicar que actualment s’està duent a terme una operació coordinada, en la qual diverses empreses van ser acuradament escollides per utilitzar el ransomware Ryuk.
Des de la fase d’explotació fins al procés d’encriptació i la pròpia demanda de rescat, la campanya de Ryuk està curosament dirigida a empreses que són capaços de pagar una gran quantitat de diners.
Tant la naturalesa de l’atac, com el propi funcionament intern del malware, vinculen Ryuk amb el ransomware HERMES, desperten la curiositat pel que fa a la identitat del grup darrere d’ell i la seva connexió amb el Lazarus Group. Després de cobrar uns 640.000 dòlars gràcies al seu èxit, Check Point creu que aquest no és el final de la campanya. És molt probable que altres organitzacions siguin víctimes de Ryuk.
Imatges | Checkpoint
Avís: Aquesta notícia es tracta d’una nota de premsa sense manipular. És per això que pot tenir una visió subjectiva del producte, tingueu-ho en compte a l’hora de valorar-lo.
