• C/Santa Amalia 2, Entlo. 2º, Local F Valencia (46009)
  • C/Marqués de Larios 4, 1ª Planta Málaga (29005)
  • info@cnipj.es
  • +34 658 14 26 33

Ryuk, el Ransomware de moda

Ryuk, el Ransomware de moda

CCR (curiosidades, consideraciones y recomendaciones)

Hola a todos, recientemente ccn-cert ha publicado el último informe sobre el ransomware Ryuk, muy posiblemente es el ransomware que ha afectado al SEPE, a muchas empresas y organizaciones antes, cabe destacar que es una evolución de un ransomware más antiguo con nuevas capacidades de descubrimiento de equipos vecinos y con un modus operandi modificado respecto de su origen.

En este ocasión el software ha sido modificado para encriptar con una clave distinta a cada objetivo (organización) lo que complica el caso ya que si una organización afectada consigue la clave o como desencriptar los datos no servirá para el resto de organizaciones.

Todos en mayor o menor medida hemos visto la noticia del SEPE, sin entrar en opinar, espero que lo recuperen cuanto antes y seguro que saldran muchas lecciones aprendidas, que eso es lo que de verdad es importante aprender de los incidentes.

Os dejo un resumen del informe publicado por el ccn-cert

  • Curiosidad: No cifra el directorio  de C:/ Windows como muchos otros ransomware.
  • Curiosidad: No cifra archivos con nombre xxxChromeyyy.txt xxxMozillayyy.txt.
  • Curiosidad: No afecta a usuarios localizados en Rusia, Ucrania o Bielorrusia
  • Puede Cifrar tu ordenador, las unidades remotas, los equipos de tu red y todas las redes vecinas si los equipos son vulnerables.
  • Ryuk se copia al directorio C:/Users/Public de otras máquinas vulnerables para iniciar su expansión.
  • Especial atención a las tareas de windows ya que Ryuk crea tareas schtasks.exe.
  • Genera tráfico RPC (135/TCP) para comunicarse con Task Scheduler.
  • Recomendación: No tener habilitado Wake-on-Lan.
  • Recomendación: Tener segmentación de red y un firewall encargado de inspeccionar el tráfico podría reducir el ataque.
  • Recomendación: Desactiva SMB si no lo usas.
  • Recomendación: Actualiza o instala antivirus (No son infalibles pero ayudan a detectar anomalías o archivos maliciosos).
  • Recomendación: Un Firewall de última generación puede ayudarte a detectarlo o mitigarlo.
  • Recomendación: Una red segmentada puede acotar o reducir drásticamente su impacto, esto debería ser combinado con un firewall.
  • Recomendación: Mantén tus sistemas actualizados.
  • Recomendación: Haz auditorías a tus sistemas.

Aquí, en mi blog tenéis el artículo original.

Ryuk, el Ransomware de moda

Jesús Amorós

Ingeniero en telecomunicaciones y máster en ciberseguridad, especializado en ciberseguridad en sistemas y redes, perito informático forense en CNIPJ, responsable del comité de expertos de redes y sistemas en ciberseguridad.