Ryuk Ransomware: ¿Qué es y cómo ataca a las empresas?

El ransomware Ryuk es uno de los tipos de malware que afecta grandes empresas, instituciones gubernamentales, médicas, entre otras; Ryuk opera desde el año 2018 y fue responsable de un tercio de los ataques de robo de información para el año 2020.

Dado sus sofisticados procesos es importante que conozcas cómo operan y cuáles han sido los mayores ataques que ha ejecutado desde su fundación. Aquí te contaremos cómo prevenir este tipo de ciberdelitos.

¿Qué es el ransomware Ryuk?

Este tipo de amenaza cibernética emplea técnicas de piratería manual y herramientas open source para moverse a través de redes privadas y obtener accesos de los sistemas para cifrar los archivos. Para recuperar la información, los ciberdelincuentes suelen pedir a cambio criptomonedas.

Ryuk es uno de los malware que más afectan a las empresas y expertos en ciberseguridad, aseguran que lidiar con este tipo de ataque es crítico y es clave a la hora de garantizar el funcionamiento de sus operaciones. Incluso puedes ampliar un poco más la información en este link.

Orígenes del ransomware Ryuk

Ryuk está basado en un ransomware llamado Hermes, el cual era empleado por un grupo de ciberdelincuencia patrocinado por Corea del Norte, sin embargo, más adelante se sugirió que había sido creado por ciberdelincuentes rusos.

Este grupo de ciberdelincuentes tras Ryuk opera también Trickbot, un troyano mucho más antiguo que roba credenciales de la misma forma y se relaciona con otra firma que opera con el ransomware Hermes llamada Crypto Tech.

¿Cómo funciona el ransomware Ryuk?

Tal como los demás ransomware operan, Ryuk compromete la seguridad de los sistemas ingresando a ellos y cifrando los datos. Este accede al puerto de protocolo de escritorio remoto desprotegido, ataca por medio de phishing vía email para obtenerlo y luego, mediante archivos adjuntos de correo electrónico se descarga y accede a la red.

Este método envía un correo de phishing, de manera que el usuario descargue un documento malicioso que desencadena la infección. Una vez se viola el sistema para robar los datos, el ransomware se instala y cifra los datos. En meses anteriores, se encontró que una variante de Ryuk funcionó como un gusano, infectando los dispositivos en la red sin usar otros tipos de malware.

Al ser cifrados los archivos de la víctima, Ryuk demanda un pago generalmente en criptomonedas para recuperar la información y se suelen atacar grandes compañías, aptas financieramente para pagar por este rescate.

Ataques de ransomware Ryuk en 2020

Muchas entidades y grandes empresas han sido afectadas por el ataque del ransomware Ryuk en años pasados. Los afectados se caracterizan por ser grandes compañías sin discriminación del tipo de industria para la que trabajen. El FBI afirmó que más de 61 millones de pagos se realizaron a los ciberdelincuentes en un periodo de 21 meses entre los años 2018 – 2019.

Ataques en las industrias de atención médica, sistemas escolares, periódicos, empresas de tecnología, gobiernos, entre otros. Algunos de los casos más relevantes son:

• El caso de Universal Health Services (UHS, una empresa de atención médica de Fortune 500 con hospitales en los EE. UU. y el Reino Unido. La empresa sufrió un ataque de ransomware Ryuk el 27 de septiembre de 2020, el cual generó una pérdida de alrededor de $67 millones debido a la desconección de la empresa en la red.
• Tribune Publishing, incluidos Los Angeles Times, Chicago Tribune, Wall Street Journal y New York Times. Según el FBI, sus autores también han causado daños por más de 60 millones de dólares alrededor del mundo desde 2018.
• El caso del condado de Jackson, Georgia, quienes pagaron un rescate de $400,000 dólares para regresar su información.
• A mediados de noviembre, la National Veterinary Associates sufrió un ataque ransomware Ryuk, lo cual impidió la disponibilidad de registros de pacientes, sistemas de pago y software de gestión de consultas en 400 veterinarias.

Cómo protegerte contra el ransomware Ryuk

La información de tu empresa es vital. Puedes protegerla a través de diversas prácticas que te ayudarán a cuidar los dispositivos críticos para que puedas evitar el impacto que este tipo de ataques genera.

• Respalda tus datos, crea copias de seguridad

Mantén copias de seguridad para evitar que tus datos se vean afectados. Si recibes un ataque de este tipo, una de las opciones más rápidas es restaurar las copias de seguridad.  Es preciso conservar las copias de seguridad fuera de los servidores globales y deberán rotarse de forma continua para reducir la probabilidad de que estas se cifren durante un ataque de ransomware.

• Realiza pruebas de penetración e ingeniería social

Es fundamental que pruebes y auto expongas tu vulnerabilidad en tu infraestructura informática, tanto interna como externa. Este tipo de pruebas ayudarán a fortalecer las falencias y expondrán las debilidades que se traducirán en un plan de acción para que puedas realizarlo.

Así mismo, entrenar a tus equipos teniendo en cuenta las tácticas de ingeniería social permitirá que todos estén alineados y así medir cuán susceptibles son ellos ante un ataque de este tipo.

• Capacita a tu equipo

Continuando con el consejo anterior, es fundamental que entrenes a tus equipos con este tipo de eventos cibernéticos que afectan la seguridad de TI.  Sin importar que tan robusto sea tu sistema, si careces de un equipo entrenado, es dejar una puerta abierta ante un ataque de este tipo.

• Actualiza tus sistemas con parches

Una de las mejores formas de evitar el ransomware Ryuk es proteger tu infraestructura. Para ello, lo correcto es que uses los parches de servidores, realices las actualizaciones de tus sistemas operativos, de firmware, entre otros; sin esto, es así como los ciberdelincuentes aprovechan para afectar tus sistemas.

• Involucra a expertos

Trabaja de la mano de expertos para que te ayuden a promover la seguridad de TI óptima para tus sistemas. Te ayudarán a abordar, crear e implementar estrategias y sistemas que promuevan la ciberseguridad y sepan cómo cuidar de tus operaciones y datos.

Otros consejos que puedes poner en práctica

• Crea políticas de auto-seguridad en tus equipos. Promueve el cambio de credenciales y asegúrate de que cumplan con las normas de seguridad T.I.
• Examina y controla cómo terceros tienen acceso a tu red.
• Usa administradores de contraseñas empresariales que permitan y garanticen el control adecuado de estas.
• Deshabilita scripts de macros y considera usar otros visores de archivos en lugar de abrirlos en tus equipos.
• Crea campañas de sensibilización y ante cualquier duda, promueve una cultura de restablecer contraseñas cuando estas hayan sido comprometidas.
• Implementa la autenticación multifactor para añadir una capa extra de seguridad.
• Usa un servidor proxy para acceder a Internet y considera software de bloqueos de anuncios.
• Utiliza redes privadas seguras para acceder a sistemas internos.
• Permite que los dispositivos necesarios sean los únicos que se conecten a tus redes más importantes.
• Cuenta con programas antivirus y antispam. Mantén un escaneo regular para evitar que recibas un ataque antispam.
• Define cuáles serán los pasos a seguir ante un incidente.
• Evita que se descargue información vía email si es de un correo ajeno a la organización y genera espacios para socializar de qué forma se presentan.

¿Qué debes hacer para eliminar el ransomware Ryuk?

Este tipo de ransomware es uno de alta complejidad que requerirá un equipo dedicado y experto a eliminarlo. Es posible que puedas eliminarlo de tus equipos y red, sin embargo, será complejo desencriptar tus archivos. Para eliminarlo podrás hacerlo a través de la restauración de tu sistema.

Si cuentas con una política de respuesta a este tipo de ataques deberás ponerlo en marcha mientras se aisla y se elimina la amenaza. Recuerda que informar este tipo de eventos ante las autoridades te proporcionará apoyo y guía en caso que no cuenten con equipos especializados.

Recuerda que antes de optar por pagar para el regreso de la información a los ciberdelincuentes, piensa:

• Es posible que no se garantice la devolución de los datos y no se filtre información.
• En ocasiones, los ciberdelincuentes exigen más de la cantidad inicial para la recuperación de la información.
• En el pasado, los afectados fueron atacados nuevamente, por lo que pagar podría dar paso a otro ataque.
• Estarías alentando este tipo de delincuencia en la web.

¿Qué hacer inmediatamente tras un ataque de Ryuk?

Sigue estos pasos ante un ataque:

1. Apaga o desconecta el equipo de la red
2. No contactes a los ciber delincuentes
3. No pagues la extorsión
4. Contáctanos de inmediato

Para llevar…

Este tipo de ransomware Ryuk ha estado en constante evolución desde su salida para exponer vulnerabilidades de seguridad, por lo tanto, es importante reconocer y cuidar tus datos y sistemas. Una cultura de prevención es mucho mejor que actuar tras un ataque, puesto que este tipo de protección evoluciona al igual que el avance de los ciberdelincuentes y deberás estar al tanto de ello.

En Ransomware Help nos dedicamos a ayudar a empresas como la tuya, para sobrellevar este tipo de ataques. Verificamos los archivos, te enviamos el costo del diagnóstico y te entregamos el análisis efectuado en el que se explica cómo se podrá garantizar la recuperación de tu información. ¡Contáctanos ahora para ayudarte!