A lo largo de 2019, las entidades gubernamentales estatales, locales, tribales y territoriales (SLTT) se encuentran cada vez más con ataques de ransomware que provocan un importante tiempo de inactividad de la red, retrasos en los servicios a los constituyentes y costosos esfuerzos de remediación. Actualmente, el ransomware Ryuk es una de las variantes más prevalentes en el panorama de las amenazas de SLTT, con infecciones que se duplicaron del segundo al tercer trimestre del año. El aumento de las infecciones de Ryuk fue tan grande que el MS-ISAC vio el doble de infecciones en julio en comparación con la primera mitad del año. Sólo en el tercer trimestre, el MS-ISAC observó actividad de Ryuk en 14 estados.
Qué es
Ryuk es un tipo de cripto-ransomware que utiliza el cifrado para bloquear el acceso a un sistema, dispositivo o archivo hasta que se pague un rescate. Ryuk suele ser lanzado en un sistema por otro malware, sobre todo TrickBot, (presentado en la Amenaza del Trimestre del año pasado) o accede a un sistema a través de los Servicios de Escritorio Remoto. Ryuk exige el pago a través de la criptomoneda Bitcoin y pide a las víctimas que depositen el rescate en un monedero Bitcoin específico. La demanda de rescate suele ser de entre 15 y 50 Bitcoins, lo que equivale aproximadamente a entre 100.000 y 500.000 dólares, dependiendo de la conversión de precios. Una vez en un sistema, Ryuk se propagará por la red utilizando PsExec o Group Policy, intentando infectar el mayor número posible de puntos finales y servidores. A continuación, el malware iniciará el proceso de cifrado, dirigiéndose específicamente a las copias de seguridad y cifrándolas con éxito en la mayoría de los casos.
Ryuk suele ser la última pieza de malware lanzada en un ciclo de infección que comienza con Emotet o TrickBot. Las infecciones múltiples de malware pueden complicar enormemente el proceso de remediación. El MS-ISAC ha observado un aumento de los casos en los que Emotet o TrickBot son las infecciones iniciales y se lanzan múltiples variantes de malware al sistema con el resultado final de una infección por Ryuk. Por ejemplo, el MS-ISAC asistió recientemente a un incidente en el que TrickBot consiguió desactivar la aplicación antivirus de los puntos finales de la organización, se extendió por toda su red y acabó infectando cientos de puntos finales y múltiples servidores. Dado que TrickBot es un troyano bancario, es probable que recogiera y extrajera información de cuentas financieras en los sistemas infectados antes de lanzar la infección del ransomware Ryuk. Ryuk se propagó por toda la red, cifrando los datos y las copias de seguridad de la organización y dejando notas de rescate en las máquinas.
Cómo funciona
Ryuk se propaga principalmente a través de otro malware que lo suelta en un sistema infectado existente. Encontrar el dropper en un sistema para su análisis es difícil debido a que el payload principal lo elimina después de la ejecución inicial. El dropper crea un archivo para que se guarde la carga útil; sin embargo, si la creación del archivo falla, el dropper intentará escribirlo en su propio directorio. El dropper contiene módulos de 32 y 64 bits del ransomware. Una vez creado el archivo, el dropper comprueba qué proceso se está ejecutando en ese momento y escribe en el módulo apropiado (32 o 64 bits).
Tras la ejecución del payload principal y la eliminación del dropper, el malware intenta detener los procesos y servicios relacionados con el antivirus y el antimalware. Utiliza una lista preconfigurada que puede matar más de 40 procesos y 180 servicios mediante los comandos taskkill y netstop. Esta lista preconfigurada se compone de procesos antivirus, copias de seguridad, bases de datos y software de edición de documentos.
Además, la carga útil principal se encarga de aumentar la persistencia en el registro e inyectar cargas útiles maliciosas en varios procesos, como el proceso remoto. La inyección en el proceso permite al malware obtener acceso al servicio de sombra de volumen y eliminar todas las copias de sombra, incluidas las utilizadas por aplicaciones de terceros. La mayoría de los ransomware utilizan las mismas técnicas, o similares, para eliminar las instantáneas, pero no eliminan las de las aplicaciones de terceros. Ryuk consigue esto redimensionando el almacenamiento del servicio de sombra de volumen. Una vez redimensionado, el malware puede forzar el borrado de las instantáneas de aplicaciones de terceros. Estas técnicas complican enormemente el proceso de mitigación, ya que dificulta la capacidad de una organización para restaurar los sistemas a un estado anterior a la infección. Además, perseguirá y borrará múltiples archivos que tengan extensiones relacionadas con las copias de seguridad y cualquier copia de seguridad que esté actualmente conectada a la máquina o red infectada. Estas herramientas antirrecuperación utilizadas son bastante amplias y más sofisticadas que la mayoría de los tipos de ransomware, lo que hace que la recuperación sea casi imposible a menos que se guarden copias de seguridad externas y se almacenen sin conexión.
Para el cifrado, Ryuk utiliza los algoritmos de cifrado RSA y AES con tres claves. Los actores de la ciberamenaza (CTA) utilizan una clave RSA global privada como base de su modelo. La segunda clave RSA se entrega al sistema a través de la carga útil principal. Esta clave RSA ya está cifrada con la clave RSA global privada del CTA. Una vez que el malware está listo para el cifrado, se crea una clave AES para los archivos de la víctima y esta clave se cifra con la segunda clave RSA. A continuación, Ryuk comienza a escanear y cifrar todas las unidades y recursos compartidos de red del sistema. Finalmente, crea la nota de rescate «RyukReadMe.txt» y la coloca en todas las carpetas del sistema.
Recomendaciones
Los gobiernos de los SLTT deben adherirse a las mejores prácticas, como las descritas en los Controles CIS, que forman parte de la Membresía CIS SecureSuite. El MS-ISAC recomienda a las organizaciones que se adhieran a la lista completa de recomendaciones del MS-ISAC Ransomware Security Primer, para limitar el efecto y el riesgo del ransomware Ryuk para su organización