16 mar. 2021

Análisis del ransomware Ryuk

Nuevo informe elaborado y publicado por el CCN-CERT sobre el ransomware Ryuk, el cuál contiene detalles generales sobre la reciente infección de SEPE en España, las características técnicas, el proceso de infección de la amenaza y planes para su mitigación. Finalmente, incluye reglas YARA para su detección.

El documento recoge el análisis de la muestra de código dañino identificada por la firma MD5 40878dbaeedf8b5cedf878623c9f519d, perteneciente a la familia de ransomware Ryuk, que deriva de la familia de ransomware Hermes [PDF].

El objetivo del binario es cifrar los ficheros de los sistemas afectados, para posteriormente, solicitar el pago de un rescate a cambio de la herramienta de descifrado.

Esta familia de ransomware se está viendo involucrada en despliegues masivos en redes internas de empresas [REF.- 2], suponiendo una amenaza severa a la continuidad de negocio de la misma. Desde el pasado 2018, la nueva tendencia que se está observando en código dañino bancario como TrickBot, Dridex o QBot, es aprovechar la naturaleza modular de estos proyectos para comprometer, mediante el uso de módulos adicionales, redes internas enteras a través de movimientos laterales.

Una vez finalizados los procesos de exfiltración de información sensible o a través de la identificación de objetivos valiosos (redes con un número significativo de equipos que afectar), se procedería, de forma manual, a distribuir a través de una cuenta comprometida con los privilegios necesarios, una muestra de ransomware a cada equipo de la organización, parando por completo la actividad de la misma.

Aunque no se trata de una relación de exclusividad, un despliegue masivo de Ryuk podría implicar un compromiso previo por parte de Emotet, TrickBot o BazarLoader. Debido al grave impacto que supondría el ciclo de explotación completo que pueden desencadenar estas familias de código dañino, una detección en una fase temprana es vital de cara a proteger la continuidad de negocio, en cuanto a la amenaza que supone el código dañino en este contexto.

La característica más destacable y significativa de la muestra analizada es su capacidad de propagación a modo de gusano. Además de aprovecharse del protocolo Wake-on-Lan para arrancar equipos apagados hace uso de SMB y RPC para propagar y ejecutar el ransomware en otras máquinas a las que tiene acceso.

En los puntos posteriores se entra en detalles técnicos sobre los antecedentes de Ryuk, su proceso de infección y su esquema de cifrado.

El informe completo se puede descargar desde CCN-CERT y otro análisis de Kroll.

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!