El ransomware Ryuk ha explotado en prevalencia en 2019 y 2021, y ahora es el tipo más común de ransomware para impactar a empresas medianas y grandes. Ryuk es un tipo de Hermes Ransomware , y anteriormente estaba asociado con el grupo Lazarus, una atribución que desde entonces ha sido prácticamente desacreditada. Dada su prevalencia, es importante comprender cómo se produce un ataque de ransomware Ryuk y los pasos que se deben seguir si una víctima necesita pagar el rescate y ejecutar la herramienta de descifrado.
¿Cómo ocurren los ataques de Ryuk?
La mayoría de los ataques de Ryuk Ransomware se pueden rastrear a cualquiera de los dos protocolos de escritorio remoto Acceso o correo electrónico de phishing como vector de ataque. Esto se debe a la prevalencia de puertos RDP mal asegurados y la facilidad con la que los distribuidores de ransomware pueden obtener acceso, ya sea por fuerza bruta o comprando credenciales en sitios de mercados oscuros. Las compañías que permiten a los empleados o contratistas acceder a sus redes a través del acceso remoto sin tomar las protecciones adecuadas corren un grave riesgo de ser atacadas por Ryuk Ransomware. El phishing por correo electrónico también es cada vez más frecuente en los ataques de Ryuk. Los atacantes utilizan cada vez más kits de explotación como Trickbot y Emotet para obtener credenciales elevadas que les permiten cifrar toda la red de una organización específica. Un ataque típico sigue el siguiente patrón:
- El acceso de usuario subordinado se obtiene a través de RDP forzado bruto o Phishing de un empleado
- Las credenciales elevadas se cosechan utilizando Trickbot, Mimikatze u otro software. Esto permite que los atacantes Ryuk se muevan lateralmente para supervisar la red y las máquinas de mapas, los controladores de dominio y la topografía general.
- Los controladores de dominio se utilizan para almacenar una copia de PsExec, una instancia del ejecutable de Ryuk y un script por lotes para los controladores de dominio y otros componentes valiosos de una red de víctimas.
- Al usar PsExec, el atacante copia un script por lotes en una carpeta en todas las máquinas accesibles en el entorno de la víctima. El atacante luego usa PsExec para copiar el binario Ryuk a los directorios raíz de estas máquinas. Se crea un nuevo servicio para lanzar el binario Ryuk y se inicia.
- El ejecutable de Ryuk comienza a cifrar los archivos en los sistemas afectados, lo que hace que todas las máquinas afectadas se cifren y dejen los archivos readme.txt y las correspondientes notas de rescate.
¿Cómo Ryuk encripta los archivos?
Ryuk utiliza un modelo de cifrado de confianza de tres niveles. El primer nivel / fundación es el par de claves RSA global que tienen los atacantes. La clave privada de este par de claves no está disponible para la víctima hasta que se haya pagado el rescate. Se compró el descifrador. El segundo nivel es una clave RSA única para la víctima. La mayoría de los tipos de ransomware generan esta clave durante el proceso de cifrado y cifran la clave privada resultante utilizando la clave global. Con Ryuk, el ransomware llega con la clave preinstalada y la clave privada previamente cifrada. El tercer nivel es una clave de cifrado simétrico AES estándar generada para cada archivo víctima mediante la función CryptGenKey de Win32API. Esta clave se exporta utilizando CryptExportKey. Se cifra mediante la clave de segundo nivel y el resultado cifrado se adjunta al archivo cifrado.
¿Cómo identificar si Ryuk ha cifrado sus archivos?
Ryuk Ransomware generalmente agrega un ‘.ryk’ estándar a los archivos cifrados. Se sabe que hay una variante que no agrega ninguna extensión especial a los archivos, pero utiliza el mismo método de encriptación que el Ryuk estándar que agrega ‘.ryk’ a los archivos.
Un archivo cifrado seguiría el siguiente patrón (ejemplo de un documento de Word):
Nombre de archivo.doc.ryk
Ryuk Ransomware generalmente deja una nota de rescate alargada que explica lo que ha sucedido y se identifica al final de la nota.
Componentes de un Ryuk Ransom Note
Mensaje de Ryuk al equipo de TI
En la parte superior de la nota de rescate, los atacantes están llamando específicamente al equipo de TI en un esfuerzo por intimidarlos. Advierten que no hay un método de descifrado (esto es cierto al momento de escribir esto) y no intentan ninguna de las formas estándar de recuperar los datos.
Prueba gratis de descifrado de Ryuk
En la siguiente sección, la nota indica la facilidad de descifrado si la víctima decide pagar. El marco de tiempo dado no es exactamente exacto, dada la dificultad de funcionamiento del descifrador Ryuk y el tiempo que tardan en recuperarse los casos. Los atacantes ofrecen una prueba de descifrado para un archivo pequeño, que es bastante estándar.
Cómo obtener Bitcoins para pagar un rescate de Ryuk
Las notas sobre ransomware de Ryuk no proporcionan una guía sobre cómo obtener Bitcoin, a diferencia de otros tipos de ransomware. La primera respuesta del atacante a una víctima por correo electrónico suele tener más información sobre cómo obtener Bitcoins.
Contactando al Atacante Ryuk
Al final de la nota, se proporciona la información de contacto del atacante. La mayoría de las veces hay dos direcciones de correo electrónico dadas. La mayoría de los distribuidores de Ryuk cambian sus direcciones de correo electrónico para cada ataque, por lo que rara vez se repite.
Actualmente no existe una herramienta de descifrado gratuita para el ransomware Ryuk y ningún software comercial capaz de descifrar los archivos. Desconfíe de cualquier compañía que afirme poder descifrar Ryuk utilizando métodos patentados. Cuando una víctima de Ryuk paga el rescate, los atacantes suelen proporcionar un enlace a un sitio para compartir archivos y algunas instrucciones escritas. Las instrucciones del atacante suelen ser un proceso de 4 pasos simplificado como el siguiente. En realidad, el proceso es mucho más complicado.
Ejemplo de instrucciones de descifrado de Ryuk
1. Desactive el antivirus, los cortafuegos, detenga los servicios del servidor mysql (en caso de que las bases de datos estuvieran cifradas), etc.
2. Conecte todas las carpetas compartidas que fueron encriptadas.
3. Ejecute el software de descifrado con privilegios de administrador.
4. Haga clic en «2», luego presione Intro y espere, el descifrado se realizará en modo automático.
En el paso # 1, el atacante le indica a la víctima que deshabilite el software antivirus y los cortafuegos en la máquina que está descargando o ejecutando la herramienta de descifrado. Esto es desconcertante, pero es preciso ya que el ejecutable del desencriptador se marcará o bloqueará rápidamente por cualquier forma de protección de punto final que esté activa en la máquina afectada. Las instrucciones también le dicen a la víctima que pause la actividad de SQL DB. Es muy común que las bases de datos SQL se corrompan durante el proceso de cifrado inicial. Desafortunadamente, es muy difícil determinar si esta corrupción se ha producido realmente hasta después de que se descifran los archivos de la base de datos SQL.
En el paso # 2, el atacante le indica a la víctima que vuelva a conectar cualquier unidad asignada o montada a la máquina que ha cifrado los archivos. Es muy común que las víctimas de ransomware desconecten las máquinas con la esperanza de evitar que el archivo ejecutable golpee otras máquinas en la red. Para los fines de ejecutar la herramienta de descifrado, está bien volver a conectar las unidades asignadas o montadas siempre que esas unidades no estén conectadas a ninguna máquina o entorno limpio. Debido a que es probable que el malware de cifrado Ryuk aún esté activo en sus máquinas, se debe tener mucho cuidado en este paso.
En el paso # 3, el atacante le indica al usuario que se asegure de ejecutar el descifrador como administrador. El permiso y el acceso de lectura / escritura son necesarios para que el desencriptador descifre los archivos correctamente, por lo que se requiere la ejecución como administrador.
En el paso # 4, el atacante está dando consejos generales sobre cómo ejecutar el desencriptador en todas las máquinas y unidades detectadas. En la práctica, no funciona casi a la perfección. Por favor, vea nuestro artículo más detallado a continuación sobre cómo ejecutar y señalar el descifrador.
Cómo utilizar la herramienta de descifrado Ryuk
(Tenga en cuenta que el siguiente ejemplo es solo un ejemplo y no una guía o garantía en la que se debe confiar de ninguna manera. Las variantes de ransomware y sus descifradores evolucionan semanalmente y este ejemplo puede ser obsoleto o estar en conflicto con las instrucciones que proporciona un pirata informático. Consulte nuestra Términos de servicio para más descargo de responsabilidad).
El descifrador Ryuk no es confiable y está plagado de errores que residen dentro del código. Estos problemas hacen que la experiencia del usuario de las víctimas al ejecutar el descifrado sea muy desafiante y requiera mucho tiempo. Algunos de los temas más destacados son:
- Espacios de la ruta del archivo de Windows: si hay un espacio en la ruta del archivo de Windows, el descifrador fallará en el proceso de descifrado.
- Comillas «en la ruta del archivo: si hay una comilla («) en la ruta del archivo, el descifrador informará de un error que no puede encontrar el archivo específico.
- Función de versión de Windows: el descifrador utiliza la función «GetVersionExW» para determinar la versión de Windows, para Windows 8.1. El valor devuelto por esta API ha cambiado y el descifrador no está diseñado para manejar este valor.
- Eliminación de la extensión .Ryk: El descifrador no elimina la extensión .ryk y la reemplaza con la extensión original. Dado que no hay manera de determinar el tipo de archivo original basándose solo en el nombre del archivo, puede ser extremadamente laborioso para las víctimas empresariales cambiar el nombre de sus archivos y restaurarlos.
Bucle infinito en modo manual: al elegir la opción manual en el descifrador, el usuario debe proporcionar una ruta del archivo específico o seleccionar «0» para finalizar. Sin embargo, elegir un «0» pondrá al descifrador en un bucle infinito.
Ejecutando el descifrador
Paso 1) Introduzca la contraseña. Después de iniciarse como administrador, el descifrador solicitará una contraseña. Introduzca la contraseña proporcionada:
Paso 2) Una vez que se inició, lo primero que hace el descifrador es buscar en la sección HKEY_CURRENT_USER un par de valores llamado «svchos» en la ruta «SOFTWARE Microsoft Windows CurrentVersion Run» y eliminar la entrada específica. Esto elimina el ejecutable Ryuk. Posteriormente, reiniciará el sistema y eliminará cualquier malware Ryuk restante que aún se encuentre en el sistema. Una vez reiniciado, el usuario debe ejecutar la herramienta nuevamente y el descifrador proporcionará dos opciones para descifrar:
- Descifrado por archivo
- Descifrado automático
Paso 3) Al seleccionar la primera opción, el descifrador puede apuntar a un archivo o carpeta específica. Una vez que especifique el archivo, el descifrador lo ubicará y lo descifrará, y le notificará cuando termine solicitando el siguiente archivo.
Paso 4) La segunda opción intentará ejecutar el descifrador en todas las unidades y recursos compartidos conectados. Sin embargo, no es raro que el proceso falle y deba reiniciarse o reubicarse.
Paso 5) Una vez completado, el descifrador le notificará y lo obligará a salir del ejecutable.
Paso 6) Comprobar y repetir. Después de salir, depende del técnico revisar qué archivos se descifraron correctamente y cuáles no. Los archivos que fallaron deberán reemplazarse desde la copia de seguridad (recuerde hacer otra copia). Es posible que los archivos grandes deban apuntarse directamente, utilizando el método número uno en el descifrador.
Si usted está experimentando un incidente que involucra ransomware Ryuk o cualquier otra variante, por favor no dude en extender la mano para pedir ayuda.
[isc_list]