Ransomware Ryuk
Hoy en día son frecuentes los ciberataques, en particular los programas de rescate, llamados «ransomware» en inglés.
Este ataque consiste, al igual que sus homólogos cibernéticos, en suplantar los datos personales de los equipos infectados.
Se trata, por lo tanto, de un software oculto en un correo electrónico malicioso que, una vez abierto, cifra sus datos y bloquea el acceso a ellos. Los ciberdelincuentes exigen un rescate en criptomoneda a cambio de descifrar sus datos, lo que da nombre a este tipo de ataque.
Continuemos nuestra investigación centrándonos esta vez enel fenomenalransomware Ryuk. Parece que seguirá dando que hablar, ya que desde su aparición ya ha recaudado 3,7 millones de dólares en bitcoins.
Detectado por primera vez en agosto de 2018, este último utiliza nuevas estrategias:
Esta vez, los ciberdelincuentes no difundenmalware en cualquier equipo. Se infiltran durante varios meses de forma muy discreta en las redes de las empresas. De este modo, identifican concretamente qué estrategia establecer para atacar los objetivos más interesantes y con mayor capacidad de pagar grandes rescates.
Según los investigadores de Crowdstrike (empresa estadounidense especializada en tecnologías de ciberseguridad), el grupo de piratas informáticos «Grim Spider», responsable de este ataque, utilizó un troyano. El troyano TrickBot se introduce en los equipos objetivo a través de un archivo fraudulento adjunto a un correo electrónico de phishing.
Generalmente oculto en una hoja de Excel, este software malicioso se dirige a una persona concreta por correo electrónico. Si esta abre el archivo adjunto, desbloquea los contenidos activos del documento.
¿Quién está detrás del ransomware Ryuk?
El ransomware Ryuk incluiría un «kill switch» que solo se activa en función de la ubicación de la víctima, un comportamiento bastante habitual en el mundo de la ciberdelincuencia. De este modo, los piratas informáticos evitan dispararse en el pie. Además, Crowdstrike afirma haber identificado algunos elementos de lenguaje ruso en el código, así como una descarga sospechosa procedente de Moscú.
