Prosegur, la multinacional de servicios de seguridad, ha sido esta semana la empresa afectada por una propagación de malware Ryuk.

 

Prosegur informó, a primera hora de la mañana, que había sufrido una infección de malware Ryuk causando la interrupción de los servicios informáticos de la entidad.

 

Para limitar la propagación y restablecer los sistemas, Prosegur ha apagado todas las vías de comunicación: app, web y sistemas internos.

 

Prosegur emitió un comunicado a medio día de hoy informando del incidente, aunque sin explicar demasiados detalles.

 

En su página web, tras un largo tiempo de carga, ha aparecido el siguiente mensaje:

 

Prosegur Ryuk ataque

 

Ryuk malware, ¿qué es?

 

Ryuk es un malware conocido desde agosto de 2018, utilizado por el sofisticado grupo de cibercriminales eCrime, con sede en Rusia, a pesar de que pueden estar operando desde otro país, llamado WIZARD SPIDER.

 

El malware Ryuk, igual que BitPaymer tiene como objetivo, el ataque a grandes organizaciones.

 

Con Ryuk, desde su creación en agosto de 2018, los atacantes han obtenido más de 705.80 BTC en 52 operaciones por un valor actual total de 3.701.893,98 USD, teniendo en cuenta la disminución en el valor de BTC a USD, la cantidad, puede ser mayor.

 

La nota de rescate de Ryuk tiene un parecido con la de Bitpaymer, aunque la cantidad del rescate varía según el tamaño y el valor de la empresa víctima del ataque:

 

Ryuk-nota-secuestro

 

¿Cómo actúa Ryuk?

 

El archivo por lotes kill.bat contiene comandos para detener y desahbilitar servicios y procesos. Los procesos y servicios se detienen para garantizar que no existan identificadores abiertos para los archivos que se cifrarán posteriormente.

 

Ryuk es un malware que está en desarrollo constante y sus características principales, sin ánimos de hacer aquí un análisis técnico, son:

 

  • Cifra archivos usando RSA-2048 y AES-256
  • Almacena claves en el archivo ejecutable utilizando el formato patentado SIMPLEBLOB de Microsoft.
  • Cifra dispositivos montados y hosts remotos.
  • Utiliza un marcador de archivo HERMES para marcar o verificar si un archivo ha sido encriptado.

 

¿Cómo llega Ryuk a las empresas?

 

Para desplegarse en los sistemas informáticos de una organización, Ryuk debe obtener privilegios de administrador. Aquí no hay ciencia ficción, ni magia.

 

Se envía a través de correos electrónicos, aunque no se trata de ninguna campaña de phishing y se propaga a través de botnets como Emotet.

 

Emotet se distribuye a través de correos electrónicos no deseados que son enviados a una gran cantidad de destinatarios de la empresa en un “esfuerzo” de los criminales por infectar el mayor número de máquinas de la empresa. A más ordenadores infectados, mayor posibilidades de aumentar el rescate.

 

¿Cómo protegerse de Ryuk y otros ataques de malware?

 

Los hospitales del Sistema de Salud DCH, en el estado de Alabama, USA, cerraron durante una jornada, el pasado mes de octubre, tras sufrir un ataque de malware Ryuk.

 

Durante el siguiente fin de semana, DCH, actualizó el comunicado acerca del incidente e informó que una parte de los sistemas se habían restablecido restaurando las copias de seguridad y otra parte estaba siendo restablecida tras pagar el rescate para obtener la clave de descifrado de Ryuk.

 

A fecha de hoy, se desconoce cuál ha sido la cantidad del rescate abonada y cuál ha sido la calidad de la recuperación de los sistemas informáticos de los tres hospitales DCH afectados.

 

Teniendo en cuenta cómo funciona la propagación de Ryuk, las empresas afectadas pueden tener alguna posibilidad de recuperación de la información mediante herramientas gratuitas, sin plantearse pagar el rescate solicitado por los criminales.

 

La firma de productos de seguridad Emisoft ha emitido varios comunicados informando a las empresas que, antes de pagar el rescate traten de contactar con ellos para intentar colaborar con herramientas gratuitas disponibles.

 

 

Share This