REvil, Ryuk y Tycoon Ransomware: cómo funcionan y cómo defenderse de ellos

REvil, Ryuk y Tycoon Ransomware: cómo funcionan y cómo defenderse de ellos

Es la mañana del martes después de un largo fin de semana. Llega temprano al trabajo para ponerse al día con los correos electrónicos solo para descubrir que está completamente bloqueado. Ha sido golpeado por un ataque de ransomware. Te preguntas: “¿Qué pasó? ¿Y cómo lo soluciono?”

Esta publicación explorará tres de las familias de ransomware más importantes de 2020: Tycoon, Ryuk y REvil. Después de discutir cómo funcionan estas cepas, compartiremos algunas de las mejores prácticas que las organizaciones pueden usar para defenderse contra una infección de ransomware.

Magnate

Magnate se compila en el formato de imagen de Java, ImageJ, y se implementa utilizando una versión troyana de Entorno de tiempo de ejecución de Java (JRE). Esta es una metodología extraña para ransomware que no se ve a menudo. El ransomware Tycoon a menudo usa una conexión insegura a un servidor RDP para ingresar a la red. Una vez dentro de la red, deshabilitará el software antimalware para que pueda permanecer sin ser detectado en el sistema hasta que finalice el ataque.

Esta cepa de criptomalware existe desde diciembre de 2019. El código de Tycoon está escrito para usarse contra sistemas Windows y Linux y se usa para apuntar a pequeñas y medianas empresas (PYMES), principalmente en las industrias de software y educación. Se cree que Tycoon puede estar vinculado a Dharma (Crysis) debido a las similitudes en las convenciones de nombres y las direcciones de correo electrónico utilizadas.

De acuerdo a TechRaDArkansas, Tycoon tiene un número muy limitado de víctimas debido a sus objetivos específicos. En las primeras versiones del ransomware Tycoon, algunas víctimas podían recuperar sus datos cifrados con el uso de una clave RSA comprada a otras víctimas porque el ransomware repetía el uso de algunas claves. Sin embargo, este no es el caso con las versiones más recientes.

Relacionado:  ¿Es lo mismo seguridad informática que ciberseguridad? Descubre las diferencias

Ryuk

Ryuk funciona en dos partes. El primero es un cuentagotas que coloca el malware Ryuk en un sistema. El segundo es un payload ejecutable que lleva a cabo el cifrado. Parte del código de la carga útil ejecutable es eliminar el cuentagotas del sistema para que no se pueda recuperar ni analizar.

A diferencia de la mayoría de los otros ransomware, Ryuk no tiene una extensa lista de permitidos para evitar que cifre los archivos del sistema que garantizan la estabilidad de funcionamiento de los sistemas. Ryuk solo permite archivos con las extensiones exe, dll y hrmlog, así como algunas carpetas como Windows, Microsoft y Chrome. El problema con esto es que los archivos que tienen la extensión sys no están permitidos, y si estos archivos están encriptados, podría causar que el sistema se vuelva inestable y potencialmente bloquee.

El ransomware Ryuk existe desde agosto de 2018 y es operado por un grupo ruso de eCrime que se hace llamar Araña hechicera. Los únicos objetivos de Wizard Spider para Ryuk han sido las grandes organizaciones que son capaces de pagar altas tarifas de rescate. Esto ha convertido a Ryuk en uno de los ransomware más rentables hasta la fecha según ZDnorteet, con una demanda de rescate promedio por Ryuk estimada en alrededor de $290,000. Ryuk ransomware no es un ransomware codificado originalmente; en cambio, se deriva del ransomware Hermes.

REvil

REvil, que lleva el nombre de la franquicia Resident Evil, también se conoce como Sodinokibi y es un Ransomware-as-a-Service (RaaS). Se distribuye utilizando varios métodos diferentes, incluidos correos electrónicos no deseados maliciosos, kits de explotación y vulnerabilidades RDP. Este malware también agrega un giro en su nota de rescate en el sentido de que le dice a la víctima que si el rescate no se paga en el tiempo especificado, la demanda se duplicará. La pandilla REvil incluso ofrece un descifrado de «prueba» para demostrarle a la víctima que sus archivos se pueden descifrar.

Relacionado:  Explicación del proceso de pruebas de SAP: Cómo garantizar que los productos se ajustan a los objetivos

REvil se identificó por primera vez en abril de 2019 y se considera una de las familias de ransomware más extendidas en 2020. Al igual que muchas otras familias de criptomalware, REvil extrae datos y amenaza con liberarlos si la víctima no paga el rescate a tiempo. .

Un miembro del grupo detrás de REvil, que se conoce con el nombre de «Desconocido», dijo que REvil se basa en un código base más antiguo, muy probablemente gandcangrejo. REvil es muy configurable, lo que permite a cada usuario modificar el código para su objetivo final. De acuerdo a Trabajos seguroslos actores maliciosos pueden usar el ransomware para explotar CVE-2018-8453 para elevar los privilegios y filtrar la información del host.

Prevención de un ataque de ransomware

Para cualquiera que busque mantener su red segura, debe asegurarse de que CONOZCAN su red. Conocer la red significa que tiene un inventario de cada dispositivo y sistema conectado, así como también cómo fluye el tráfico entre ellos. Además de eso, la red necesita ser monitoreada constantemente, lo que se puede hacer más fácil utilizando Herramientas de gestión de eventos e información de seguridad (SIEM). El monitoreo de la red permite descubrir anormalidades mucho más rápidamente y ahorra un tiempo precioso durante un incidente para reaccionar y remediar la situación. También es una fuerte recomendación dificultar el paso de la red por parte de los atacantes para evitar la propagación de cualquier malware que pueda haber entrado en su red.

Las organizaciones también deben considerar la gestión de vulnerabilidades. Se crean parches y actualizaciones de software y dispositivos para corregir cualquier vulnerabilidad que se haya descubierto en dicho software y dispositivos. Una de las primeras cosas que buscan los atacantes son los sistemas vulnerables, por lo que si se descuidan las actualizaciones, les brinda a los atacantes una vía para usar esas vulnerabilidades conocidas para obtener acceso a sus sistemas y llevar a cabo sus actos maliciosos.

Relacionado:  Creación de resiliencia cibernética en un entorno de alerta intensificado

Debe aceptar en algún momento que el malware encontrará una forma de ingresar a la red o los sistemas. No es cuestión de si, sino de cuándo. Teniendo esto en cuenta, es importante crear un plan de respuesta para cuando se encuentre malware en el sistema o la red, de modo que cuando suceda, la respuesta pueda ser rápida y eficiente para limitar la exposición y el daño. Además de tener un plan de respuesta, es importante probar el plan periódicamente para que todo el personal sepa qué hacer durante un incidente y para identificar cualquier actualización del plan que pueda ser necesaria. Parte de este plan debe ser tener copias de seguridad actualizadas del sistema y los datos para que, en caso de un ataque de ransomware, haya poca o ninguna pérdida de datos, ya que se pueden restaurar a partir de las copias de seguridad.

Las organizaciones no pueden detenerse ahí. También deben recordar la importancia de administrar sus configuraciones seguras, bloquear ataques de phishing y otras operaciones basadas en correo electrónico, así como controlar el uso de privilegios administrativos. Clic aquí para saber más.

Publicaciones Similares