Ransomware, Ryuk y Riesgo: Comenzando a entender el ataque épico en Epiq

According to Shyam Oza, Director of Product Management at Spanning, “The best way to protect your business from Ryuk is to avoid it. Avoidance comes when employees are educated in the matters of ransomware. Some employees do not receive the training, some do, and some know it all too well. Yet, human errors seem to be responsible for 90% of data breaches. Clearly, this tactic is not working.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Nota del editor: El reciente ataque de ransomware contra los servicios legales y el proveedor de eDiscovery Epiq ha acelerado el conocimiento de la ciberseguridad en la comunidad profesional de descubrimiento de datos y descubrimiento legal. El ataque de ransomware reconocido parece haberse iniciado con una infección de TrickBot que permitió el despliegue de ransomware Ryuk. Los siguientes extractos comparten información y conocimientos que pueden ser útiles para bufetes de abogados, corporaciones y proveedores de servicios en el ecosistema de eDiscovery que buscan obtener más información sobre ransomware, la familia ransomware Ryuk, y reducir el riesgo asociado con ataques de ransomware.

Un extracto de la publicación interinstitucional del Gobierno de los Estados Unidos sobre Ransomware

Ransomware: Qué es y qué hacer al respecto

¿Qué es Ransomware?

El ransomware es un tipo de software malicioso que los ciberactores utilizan para denegar el acceso a sistemas o datos. El ciberactor malicioso retiene sistemas o datos como rehén hasta que se pague el rescate. Después de la infección inicial, el ransomware intenta extenderse a unidades de almacenamiento compartido y otros sistemas accesibles. Si no se cumplen las exigencias, el sistema o los datos cifrados no estarán disponibles o los datos pueden eliminarse.

¿Cómo protejo mis redes?

Un compromiso con la ciberhigiene y las mejores prácticas es fundamental para proteger sus redes. Estas son algunas de las preguntas que puede que desee hacer a su organización para ayudar a prevenir ataques de ransomware:

Copias de seguridad: ¿Hacemos copias de seguridad de toda la información crítica? ¿Las copias de seguridad están almacenadas sin conexión? ¿Hemos probado nuestra capacidad para revertir las copias de seguridad durante un incidente?

Análisis de Riesgos: ¿Hemos realizado un análisis de riesgo de ciberseguridad de la organización?

Capacitación del personal: ¿Hemos capacitado al personal en las mejores prácticas de ciberseguridad?

Parches de vulnerabilidades: ¿Hemos implementado parches adecuados para vulnerabilidades conocidas del sistema?

Lista blanca de aplicaciones: ¿Permitimos que solo los programas aprobados se ejecuten en nuestras redes?

Respuesta a incidentes: ¿Tenemos un plan de respuesta a incidentes y lo hemos ejercido?

Continuidad del Negocio: ¿Somos capaces de mantener las operaciones del negocio sin acceso a ciertos sistemas? ¿Por cuánto tiempo? ¿Hemos probado esto?

Pruebas de penetración: ¿Hemos intentado hackear nuestros propios sistemas para probar la seguridad de nuestros sistemas y nuestra capacidad de defendernos contra ataques?

¿Cómo respondo a Ransomeware?

Implemente su plan de respuesta a incidentes de seguridad y continuidad del negocio. Los profesionales de TI de su organización pueden tardar tiempo en aislar y eliminar la amenaza de ransomware para sus sistemas y restaurar los datos y las operaciones normales. Mientras tanto, debe tomar medidas para mantener las funciones esenciales de su organización de acuerdo con su plan de continuidad del negocio. Las organizaciones deben mantener y probar regularmente planes de backup, planes de recuperación ante desastres y procedimientos de continuidad del negocio.

Póngase en contacto con la policía inmediatamente. Le animamos a ponerse en contacto con una oficina local del FBI o USSS inmediatamente para informar de un evento de ransomware y solicitar asistencia. Hay serios riesgos a tener en cuenta antes de pagar el rescate. No alentamos el pago de un rescate. Entendemos que cuando las empresas se enfrentan a una incapacidad para funcionar, los ejecutivos evaluarán todas las opciones para proteger a sus accionistas, empleados y clientes. Al contemplar esta elección, considere los siguientes riesgos:

Pagar un rescate no garantiza que una organización recupere el acceso a sus datos; de hecho, algunas personas u organizaciones nunca recibieron claves de descifrado después de haber pagado un rescate.

Algunas víctimas que pagaron la demanda han reportado ser atacadas nuevamente por actores cibernéticos.

Después de pagar el rescate originalmente solicitado, se ha pedido a algunas víctimas que paguen más para obtener la clave de descifrado prometida.

Pagar podría alentar inadvertidamente este modelo de negocio criminal.

Lea el documento completo en Ransomware: Qué es y qué hacer al respecto (PDF)

Extracto de un artículo de Gabriela Nicolao y Luciano Martins

Boletín de Virus 2019: La venganza de Shinigami: La larga cola del malware Ryuk

Abstracto

Ryuk es una familia de ransomware que, a diferencia del ransomware regular, está vinculada a campañas específicas donde la extorsión puede ocurrir días o semanas después de una infección inicial. Ryuk se observó por primera vez en agosto de 2018 y permanece activo a partir de julio de 2019.

Entre sus víctimas, encontramos empresas de diferentes industrias, incluyendo periódicos, restaurantes, instituciones públicas y un proveedor de servicios en la nube. Ryuk ha sido observado como una carga útil de segunda etapa entregada en campañas en las que participaron Emotet y Trickbot, dos de las amenazas más difundidas que se están utilizando actualmente en campañas de malware.

Ryuk tiene un fuerte parecido al ransomware de Hermes y probablemente fue desarrollado y posiblemente distribuido por el mismo (s) actor (s) de amenaza. Las similitudes de código encontradas entre Ryuk y Hermes — una carga útil que supuestamente estaba vinculada a los actores de amenazas norcoreanos — llevaron a los analistas a sospechar inicialmente que Ryuk estaba afiliado al infame grupo Lazarus APT (Advance Persistent Threat). Sin embargo, esa atribución fue descartada en base a pruebas que fueron recogidas de un oscuro foro web y el malware fue atribuido más tarde a actores de habla rusa posiblemente conocidos como Grim Spider.

Cronología Ryuk

Ryuk es un crypto-ransomware que se mencionó por primera vez en un Tweet el 17 de agosto de 2018. Usó 'RyukReadme.txt' como nota de rescate, de ahí el nombre.Ryuk es también el nombre de un personaje ficticio conocido como Shinigami (Dios de la Muerte) en una serie de manga y anime llamada Death Note.

En el momento en que Ryuk fue reportado por primera vez, ya había golpeado a tres empresas en diferentes países, y los investigadores señalaron que Ryuk se basaba en el infame código fuente del ransomware Hermes y que utilizaba el mismo formato de nota de rescate que BitPaymer.

El ransomware Hermes fue utilizado por Lazarus, un grupo de actores amenazadores patrocinado por Corea del Norte activo desde 2009. Debido a la atribución de Hermes a Lázaro, los investigadores creían que Ryuk también estaba relacionado con Lázaro.

Lea el artículo completo en La venganza de Shinigami: La cola larga del malware Ryuk

Un extracto de un artículo de Shyam Oza vía Spanning

Ryuk Ransomware Cover case Negro

En el otoño de 2018, se descubrió una versión modificada de Hermes ransomware: Ryuk. Tanto Hermes como Ryuk tienen características similares. Identifican y cifran dispositivos de red junto con la eliminación de instantáneas almacenadas en los endpoints. La única diferencia es cómo crean las claves de cifrado. Mientras que Hermes utiliza un par de claves RSA y privadas, Ryuk utiliza una segunda clave pública RSA.

Ryuk ransomware es más lucrativo que su predecesor. Se dirige a grandes organizaciones y agencias gubernamentales que terminan pagando grandes cantidades. La verdad es que, sin los grandes pagos, procesar los ataques Ryuk no es sostenible. Implica un alto grado de procesos manuales (explotación directa, solicitudes de pago gestionadas por correo electrónico, etc.) y los atacantes no quieren perder tiempo si el ROI no es bueno.

¿Cómo funciona Ryuk?

Ryuk ransomware no es el comienzo, sino el fin del ciclo de la infección. Es el ransomware que entra en forma, paso a paso, y cuando golpea, es letal.

Lea el artículo completo en Ryuk Ransomware

Un extracto de un artículo de Lawrence Abrams

Ryuk Ransomware atacó Epiq Global a través de la infección TrickBot

El ataque de Epiq Global comenzó con una infección por TrickBot

Hoy una fuente de la industria de la ciberseguridad compartió exclusivamente información con BleepingComputer que arroja luz sobre cómo Epiq Global se infectó.

En diciembre de 2019, una computadora en la red de Epiq se infectó con el malware TrickBot.

TrickBot es instalado con mayor frecuencia por el troyano de Emotet, que se propaga a través de correos electrónicos de phishing.

Una vez instalado TrickBot, recogerá varios datos, incluyendo contraseñas, archivos y cookies, de un equipo comprometido y luego intentará extenderse lateralmente a través de una red para recopilar más datos.

Cuando termine de recolectar datos en una red, TrickBot abrirá un shell inverso a los operadores de Ryuk.

Los actores Ryuk tendrán acceso a la computadora infectada y comenzarán a realizar el reconocimiento de la red. Después de obtener credenciales de administrador, implementarán el ransomware en los dispositivos de la red mediante PowerShell Empire o PSExec.

En el caso de Epiq Global, Ryuk fue desplegado en su red el sábado por la mañana, 29 de febrero de 2020, cuando el ransomware comenzó a cifrar archivos en computadoras infectadas.

Mientras que Ryuk es considerado un ransomware seguro sin ninguna debilidad en su cifrado, Brett Callow de Emsisoft ha dicho a BleepingComputer que puede haber una ligera posibilidad de que puedan ayudar a recuperar archivos cifrados por el ransomware Ryuk.

«Las empresas afectadas por Ryuk deben ponerse en contacto con nosotros. Hay una pequeña posibilidad, muy pequeña, de que podamos ayudarles a recuperar sus datos sin necesidad de pagar el rescate», dijo Callow a BleepingComputer.com.

Si bien las posibilidades son muy pequeñas, si sus dispositivos están encriptados por el Ryuk Ransomware no hace daño comprobar con Emsisoft.

BleepingComputer se ha puesto en contacto con Epiq con más preguntas sobre este ataque, pero no han recibido respuesta en este momento.

Leer el artículo completo en Ryuk Ransomware Atacado Epiq Global a través de TrickBot Infection

Lectura adicional

Un ataque de Epiq Ransomware golpea al líder de servicios legales

La intersección del derecho internacional y las operaciones cibernéticas: un conjunto de herramientas de derecho cibernético interactivo

Fuente: ComplexDiscovery