Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Historia del Ransomware Ruyk: el más prolífico atacando hospitales


A parte de la Cadena SER y la consultora Everis (que ha revelado que el ciberataque le costó 15 millones de euros)  además de Prosegur en 2019, la Universidad de Castilla-La Mancha, y más recientemente del SEPE Español y del Ministerio de Economía de España la realidad es que el ransomware Ryuk es de los que cuenta con mayor número de víctimas en todo el mundo. Y especialmente Hospitales, al menos 235 hospitales generales e instalaciones psiquiátricas para pacientes hospitalizados Su equipo de negociación les trae sin cuidado si es un Hospital y dependen la vida de muchos pacientes. Les importa el dinero y nada más. Y si argumentas que no tienes suficiente dinero durante las negociaciones, te muestran documentos financiero internos que te acaban de robar para decirte que no es verdad, que si tienes suficiente dinero para pagar.



Inicios de Ryuk

Los investigadores de seguridad dicen que Ryuk surgió de una organización más grande llamada Business Club, cuyos líderes han estado en un juego del gato y el ratón con las autoridades estadounidenses desde al menos 2007. El Business Club comenzó creando malware que podía transferir dinero de un cuenta bancaria del consumidor esperando hasta que la víctima inicie sesión en el sitio web de su banco y luego secuestrando secretamente la conexión.

El Business Club se dividió en dos facciones a fines de 2013 luego de una ruptura entre los jefes de la división de desarrollo de software de la organización y sus operaciones de lavado de dinero, según el exagente del FBI J. Keith Mularski, director gerente de la práctica de ciberseguridad de Ernst & Young, que investigó al grupo.

A medida que los bancos desarrollaron defensas más sólidas, ambas facciones se convirtieron en ransomware. Un grupo comenzó a firmar sus demandas de rescate como el personaje ficticio Ryuk de la serie de manga japonesa Death Note. Otros han llamado a la pandilla de diversas formas: Trickbot Group, Wizard Spider, UNC1878 y Team9.


Negociaciones con Ryuk

Ryuk negocia con las víctimas utilizando cuentas de correo web desechables y habla con una voz única y coherente, concisa y al grano, y no ofrece ningún indicio de personalidad, según los consultores que han negociado con los piratas informáticos.

"No creo que haya tenido una conversación con Ryuk que haya superado una frase o dos", dijo Tony Cook, jefe de inteligencia de amenazas de GuidePoint Security. Cook dijo que se ha ocupado de Ryuk en 15 casos de ransomware, cuatro de ellos hospitales. "No tienes mucho margen de maniobra con ellos", dijo.

En algunas negociaciones, se quejaron los piratas informáticos de que sus clientes no podían permitirse pagar los rescates, que según él oscilaban entre 250.000 y 1,4 millones de dólares. “Ellos responderán con documentos financieros en su correo electrónico y dirán, 'Sí, se puede'”. No reveló cuántos de sus clientes pagaron a los piratas informáticos.


Conexión con Rusia

El 4 de junio, el Departamento de Justicia anunció una acusación formal de 47 cargos contra siete presuntos miembros de la organización por los robos bancarios electrónicos que eran el pilar del grupo antes de que pasara al ransomware. Un acusado, descrito por los funcionarios como una mujer letona de 55 años que usaba el sobrenombre de pantalla "Max", fue arrestada en Florida mientras viajaba en febrero. Desarrolladora de TrickBot Las identidades de cinco ciudadanos rusos y un acusado ucraniano permanecen bajo secreto.

Y en 2019, el Departamento del Tesoro de EE. UU. Impuso sanciones financieras al presunto miembro del Business Club Maksim Yakubets, diciendo que ha estado "trabajando para el FSB ruso" desde al menos 2017 y en 2018 "estaba en proceso de obtener una licencia para trabajar con Rusia". información clasificada del FSB ".


Yakubets, junto con otro supuesto miembro del Business Club, Evgeniy Bogachev, son buscados en los Estados Unidos, con un total de $ 8 millones en recompensa ofrecida por su captura. No se pudo encontrar información de contacto de ninguno de los dos hombres.



Técnicas de ataque del Ransomware Ruyk

A diferencia del ransomware común, distribuido a través de campañas masivas de spam, Ryuk se utiliza exclusivamente para ataques dirigidos. De hecho, su esquema de cifrado está diseñado intencionalmente para operaciones a pequeña escala, de modo que solo infecta recursos cruciales de cada red objetivo y su distribución es llevada a cabo manualmente por los atacantes.

Vector de ataque inicial: fuerza bruta de RDP / otros medios del vector de ataque inicial

Los operadores de Ryuk obtienen acceso inicial a una red con mayor frecuencia a través de dos métodos en 2021.

  • Compromiso de RDP basado en servicios
  • Entrega de malware basado en botnets

Aumento general del compromiso de RDP como vector de infección inicial en los ataques atribuidos a Ryuk. Se ha observado que los actores de amenazas en la naturaleza emplean la fuerza bruta a gran escala y ataques de rociado de contraseñas contra hosts RDP expuestos para comprometer las credenciales de los usuarios.

Los correos electrónicos de phishing dirigidos junto con las llamadas al centro de servicio de soporte como "BazaCall" también se han observado como un vector de infección inicial en muchos ataques atribuidos a Ryuk. Este documento armado tendrá instrucciones que le dicen al usuario que "habilitar el contenido" que activará una macro y permitirá que el documento descargue una carga útil maliciosa a través de un script de PowerShell que se ejecuta a través de un símbolo del sistema.

Características de Ryuk

  • Se instala en segundo plano gracias a TrickBot.
  • Cifra los archivos utilizando RSA-2048 y AES-256.
  • Cifra unidades extraíbles y unidades dentro de la red local.
  • Roba información personal y de la organización.
  • Genera persistencia dentro de la red.
  • Ryuk es un ransomware dirigido que puede variar en el monto del rescate de acuerdo a su víctima.

Análisis técnico detallado del ransomware Ryuk que atacó Sepe en España (Servicio Público de Empleo Estatal) - Técnicas utilizadas por los operadores WIZARD SPIDER, UNC1878, Team9 - 

Ruyk utiliza herramientas: 

Movimientos laterales WMI + PowerShell + Cobalt Strike (SMB PsExec)



Esto significa que se requiere un mapeo extenso de redes, piratería y recolección de credenciales antes de cada operación. Su supuesta atribución a Lazarus Group puede implicar que los atacantes ya tienen mucha experiencia en este tipo de operaciones, como demostraron en el ciberataque a Sony Pictures en 2014.



UNC1878 (Rusia) es responsable del 83% de las infecciones por Ryuk en 2020 (según FireEye)

Ryuk vs HERMES
El ransomware HERMES se hizo conocido en octubre de 2017, cuando se utilizó como parte del ciberataque dirigido contra el Far Eastern International Bank (FEIB) de Taiwán. En esa operación, atribuida al Lazarus Group, se robaron 60 millones de dólares en un sofisticado ataque al SWIFT, aunque luego se recuperaron.

En el caso de Ryuk, sin embargo, no hay duda de que sus ataques de las últimas dos semanas no son algo secundario. De hecho, con el pago de un rescate tan alto como solicitaron, este malware está recibiendo la repercusión adecuada entre sus objetivos o, mejor dicho, sus víctimas.

Ganancias del Ransomware Ryuk

Los actores detrás del ransomware Ryuk ha ganado más de 150 millones de dólares en 2021. La mayoría de las «ganancias» de  Ryuk se están cobrando a través de cuentas en los intercambios de cifrado Binance y Huobi.

La última cifra que se tenía fue de febrero de 2020, cuando los funcionarios del FBI hablaron en la conferencia de seguridad de RSA. En ese entonces, el FBI dijo que RYUK era el grupo de ransomware más rentable activo en la escena, habiendo ganado más de 61.26 millones de dólares en pagos de rescate entre febrero de 2018 y octubre de 2019, según las denuncias recibidas por el FBI Internet Crime Complaint Centrar.



Informe publicado por las empresas de seguridad cibernética Advanced Intelligence y HYAS, que aseguran haber identificado un total de 61 direcciones de Bitcoin asociadas a los operadores de Ryuk.

“Ryuk recibe una cantidad significativa de los pagos de sus extorsiones mediante un conocido corredor que gestiona las transacciones”, dice el informe. “Estos pagos a veces ascienden a millones de dólares y suelen oscilar entre los cientos de miles”.

Los operadores de Ryuk usan os direcciones Protonmail únicas para cada víctima y las utilizan para comunicarse. Ryuk no utiliza actualmente un chat basado en la web como lo hacen muchas otras operaciones de ransomware. Con la visibilidad limitada disponible para los analistas, está dolorosamente claro que los criminales detrás de Ryuk son muy profesionales y no sienten ninguna simpatía por el estado, el propósito o la capacidad de pago de las víctimas. A veces, las víctimas intentarán negociar con Ryuk y sus importantes ofertas se les niegan con una respuesta de una sola palabra. Ryuk no respondió ni reconoció a una organización que afirmaba estar involucrada en el alivio de la pobreza y carecía de los medios para pagar. 



Las empresas que sufren ransomware no están infectadas porque carecen de un software antivirus actualizado o porque eligieron el proveedor azul en lugar del proveedor rojo. Se encuentran con ransomware porque no han considerado desarrollar contramedidas que eviten el punto de apoyo inicial que obtienen los programas maliciosos precursores como Emotet, Zloader y Qakbot (por nombrar algunos). Lo que sigue son un par de enfoques para contrarrestar el punto de apoyo inicial:


  •  Restringir la ejecución de macros de Microsoft Office para evitar que se ejecuten macros maliciosas en su entorno.
  • Asegúrese de que todos los puntos de acceso remoto estén actualizados y requieran autenticación de dos factores (2FA).
  • El uso de herramientas de acceso remoto como Citrix y Microsoft RDP debe considerarse especialmente riesgoso y la exposición debe limitarse a una lista específica de direcciones IP cuando sea necesario.

Análisis Técnico del Ransomware Ryuk

 Aunque no se trata de una relación de exclusividad, un despliegue masivo de Ryuk podría implicar un compromiso previo por parte de Emotet, TrickBot o BazarLoader. Debido al grave impacto que supondría el ciclo de explotación completo que pueden desencadenar estas familias de código dañino, una detección en una fase temprana es vital de cara a proteger la continuidad de negocio, en cuanto a la amenaza que supone el código dañino en este contexto.

La característica más destacable y significativa de la muestra analizada es su capacidad de propagación a modo de gusano. Además de aprovecharse del protocolo WOL Wake-on-Lan para arrancar equipos apagados hace uso de SMB y RPC para propagar y ejecutar el ransomware en otras máquinas a las que tiene acceso. 


Fuentes:


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.