Ryuk, el nuevo ransomware que ataca a grandes empresas

Un grupo de ransomware descubierto recientemente ha recaudado casi $4 millones de dólares desde agosto al instalar su software de cifrado malicioso en objetivos de alto valor que se han infectado anteriormente.

El ransomware, conocido como Ryuk, infecta a grandes empresas días, semanas o incluso un año después de haber sido infectado previamente por un malware separado.

En la mayoría de los casos, las empresas se infectan primero con un poderoso troyano llamado Trickbot. Sin embargo, las organizaciones más pequeñas infectadas por Trickbot rara vez sufren tanto como sus contrapartes más grandes.

La firma de seguridad CrowdStrike califica el enfoque utilizado por Ryuk como “caza de caza mayor” y hasta ahora sus tácticas han permitido a los ciberdelincuentes generar $3.7 millones en Bitcoin a partir de 52 transacciones desde agosto.

Lo que diferencia a Ryuk de otras cepas de ransomware es su tiempo de permanencia. Durante el período entre la infección inicial y la instalación del ransomware, los cibercriminales tienen mucho tiempo para realizar el reconocimiento dentro de una red infectada, lo que les permite maximizar el daño causado por los sistemas de red críticos después de obtener sus contraseñas.

Las firmas de seguridad FireEye y CrowdStrike han minimizado los informes de que Ryuk fue creado por actores norcoreanos. CrowdStrike descubrió evidencia de que la nueva variedad de ransomware podría originarse en Rusia.

Los investigadores en FireEye arrojaron más luz sobre Ryuk, diciendo:

“A lo largo de 2018, FireEye observó un número creciente de casos en los que se implementó ransomware después de que los atacantes obtuvieron acceso a la organización víctima a través de otros métodos, lo que les permite atravesar la red para identificar sistemas críticos e infligir el daño máximo. Las operaciones de SamSam, que se remontan a finales de 2015, fueron sin duda las primeras en popularizar esta metodología, y [Ryuk] es un ejemplo de su creciente popularidad entre los actores de amenazas. FireEye Intelligence espera que estas operaciones sigan ganando terreno a lo largo de 2019 debido al éxito que han tenido estos operadores de intrusión en la extorsión de grandes sumas de dinero de las organizaciones víctimas”.

Deja un comentario