Inicios de Ryuk

Los investigadores de seguridad dicen que Ryuk surgió de una organización más grande llamada Business Club, cuyos líderes han estado en un juego del gato y el ratón con las autoridades estadounidenses desde al menos 2007. El Business Club comenzó creando malware que podía transferir dinero de un cuenta bancaria del consumidor esperando hasta que la víctima inicie sesión en el sitio web de su banco y luego secuestrando secretamente la conexión.

El Business Club se dividió en dos facciones a fines de 2013 luego de una ruptura entre los jefes de la división de desarrollo de software de la organización y sus operaciones de lavado de dinero, según el exagente del FBI J. Keith Mularski, director gerente de la práctica de ciberseguridad de Ernst & Young, que investigó al grupo.

A medida que los bancos desarrollaron defensas más sólidas, ambas facciones se convirtieron en ransomware. Un grupo comenzó a firmar sus demandas de rescate como el personaje ficticio Ryuk de la serie de manga japonesa Death Note. Otros han llamado a la pandilla de diversas formas: Trickbot Group, Wizard Spider, UNC1878 y Team9.

Negociaciones con Ryuk

Ryuk negocia con las víctimas utilizando cuentas de correo web desechables y habla con una voz única y coherente, concisa y al grano, y no ofrece ningún indicio de personalidad, según los consultores que han negociado con los piratas informáticos.

"No creo que haya tenido una conversación con Ryuk que haya superado una frase o dos", dijo Tony Cook, jefe de inteligencia de amenazas de GuidePoint Security. Cook dijo que se ha ocupado de Ryuk en 15 casos de ransomware, cuatro de ellos hospitales. "No tienes mucho margen de maniobra con ellos", dijo.

En algunas negociaciones, se quejaron los piratas informáticos de que sus clientes no podían permitirse pagar los rescates, que según él oscilaban entre 250.000 y 1,4 millones de dólares. “Ellos responderán con documentos financieros en su correo electrónico y dirán, 'Sí, se puede'”. No reveló cuántos de sus clientes pagaron a los piratas informáticos.

Conexión con Rusia

El 4 de junio, el Departamento de Justicia anunció una acusación formal de 47 cargos contra siete presuntos miembros de la organización por los robos bancarios electrónicos que eran el pilar del grupo antes de que pasara al ransomware. Un acusado, descrito por los funcionarios como una mujer letona de 55 años que usaba el sobrenombre de pantalla "Max", fue arrestada en Florida mientras viajaba en febrero. Desarrolladora de TrickBot Las identidades de cinco ciudadanos rusos y un acusado ucraniano permanecen bajo secreto.

Y en 2019, el Departamento del Tesoro de EE. UU. Impuso sanciones financieras al presunto miembro del Business Club Maksim Yakubets, diciendo que ha estado "trabajando para el FSB ruso" desde al menos 2017 y en 2018 "estaba en proceso de obtener una licencia para trabajar con Rusia". información clasificada del FSB ".

Yakubets, junto con otro supuesto miembro del Business Club, Evgeniy Bogachev, son buscados en los Estados Unidos, con un total de $ 8 millones en recompensa ofrecida por su captura. No se pudo encontrar información de contacto de ninguno de los dos hombres.

A diferencia del ransomware común, distribuido a través de campañas masivas de spam, Ryuk se utiliza exclusivamente para ataques dirigidos. De hecho, su esquema de cifrado está diseñado intencionalmente para operaciones a pequeña escala, de modo que solo infecta recursos cruciales de cada red objetivo y su distribución es llevada a cabo manualmente por los atacantes.

Vector de ataque inicial: fuerza bruta de RDP / otros medios del vector de ataque inicial

Los operadores de Ryuk obtienen acceso inicial a una red con mayor frecuencia a través de dos métodos en 2021.

• Compromiso de RDP basado en servicios
• Entrega de malware basado en botnets

Aumento general del compromiso de RDP como vector de infección inicial en los ataques atribuidos a Ryuk. Se ha observado que los actores de amenazas en la naturaleza emplean la fuerza bruta a gran escala y ataques de rociado de contraseñas contra hosts RDP expuestos para comprometer las credenciales de los usuarios.

Los correos electrónicos de phishing dirigidos junto con las llamadas al centro de servicio de soporte como "BazaCall" también se han observado como un vector de infección inicial en muchos ataques atribuidos a Ryuk. Este documento armado tendrá instrucciones que le dicen al usuario que "habilitar el contenido" que activará una macro y permitirá que el documento descargue una carga útil maliciosa a través de un script de PowerShell que se ejecuta a través de un símbolo del sistema.

Características de Ryuk

• Se instala en segundo plano gracias a TrickBot.
• Cifra los archivos utilizando RSA-2048 y AES-256.
• Cifra unidades extraíbles y unidades dentro de la red local.
• Roba información personal y de la organización.
• Genera persistencia dentro de la red.
• Ryuk es un ransomware dirigido que puede variar en el monto del rescate de acuerdo a su víctima.

Análisis técnico detallado del ransomware Ryuk que atacó Sepe en España (Servicio Público de Empleo Estatal) - Técnicas utilizadas por los operadores WIZARD SPIDER, UNC1878, Team9 - 

Ruyk utiliza herramientas: 

• Mimikatz
• PowerShell
• PowerSploit 
• AdFind 
• Bloodhound
• PsExec
• Cobalt Strike
• Bazar

Movimientos laterales WMI + PowerShell + Cobalt Strike (SMB PsExec)

Esto significa que se requiere un mapeo extenso de redes, piratería y recolección de credenciales antes de cada operación. Su supuesta atribución a Lazarus Group puede implicar que los atacantes ya tienen mucha experiencia en este tipo de operaciones, como demostraron en el ciberataque a Sony Pictures en 2014.

UNC1878 (Rusia) es responsable del 83% de las infecciones por Ryuk en 2020 (según FireEye)

Ryuk vs HERMES
El ransomware HERMES se hizo conocido en octubre de 2017, cuando se utilizó como parte del ciberataque dirigido contra el Far Eastern International Bank (FEIB) de Taiwán. En esa operación, atribuida al Lazarus Group, se robaron 60 millones de dólares en un sofisticado ataque al SWIFT, aunque luego se recuperaron.

En el caso de Ryuk, sin embargo, no hay duda de que sus ataques de las últimas dos semanas no son algo secundario. De hecho, con el pago de un rescate tan alto como solicitaron, este malware está recibiendo la repercusión adecuada entre sus objetivos o, mejor dicho, sus víctimas.

 Aunque no se trata de una relación de exclusividad, un despliegue masivo de Ryuk podría implicar un compromiso previo por parte de Emotet, TrickBot o BazarLoader. Debido al grave impacto que supondría el ciclo de explotación completo que pueden desencadenar estas familias de código dañino, una detección en una fase temprana es vital de cara a proteger la continuidad de negocio, en cuanto a la amenaza que supone el código dañino en este contexto.

La característica más destacable y significativa de la muestra analizada es su capacidad de propagación a modo de gusano. Además de aprovecharse del protocolo WOL Wake-on-Lan para arrancar equipos apagados hace uso de SMB y RPC para propagar y ejecutar el ransomware en otras máquinas a las que tiene acceso. 

• Análisis CCN-Cert España (Marzo 2021)
• Análisis CERT de Francia
• https://redcanary.com/blog/how-one-hospital-thwarted-a-ryuk-ransomware-outbreak/