La nueva cepa Ryuk Ransomware ahora se propaga a todos sus dispositivos LAN de Windows

Una nueva cepa de Ryuk tiene una característica similar a un gusano que le permite propagarse a todos los demás dispositivos en las redes locales de las víctimas. Fue descubierto por el CERT francés, su agencia nacional de ciberseguridad, mientras investigaba un ataque a principios de 2021.

“Mediante el uso de tareas programadas, el malware se propaga, de máquina a máquina, dentro del dominio de Windows”, dijo ANSSI (abreviatura de Agence Nationale de la Sécurité des Systèmes d’Information) en un informe (PDF). “Una vez lanzado, se propagará por sí mismo en todas las máquinas accesibles en las que sea posible acceder a Windows RPC”.

Ryuk es un grupo de ransomware como servicio (RaaS) descubierto por primera vez en agosto de 2018 que ha dejado una larga lista de víctimas. Está en la parte superior de las clasificaciones de RaaS, y sus cargas útiles se descubrieron en aproximadamente uno de cada tres ataques de ransomware durante el último año. El grupo entrega cargas útiles como parte de ataques de múltiples etapas utilizando vectores de infección Emotet, BazarLoader o TrickBot para acceder rápidamente a las redes de sus objetivos, generalmente a través de ataques de phishing.

Los afiliados de Ryuk han estado detrás de una ola masiva de ataques contra el sistema de salud de EE. UU. A partir de noviembre de 2020. Comúnmente piden grandes rescates, habiendo recaudado 34 millones de dólares de una sola víctima el año pasado. Durante el tercer trimestre de 2020, se ha observado que los afiliados de Ryuk llegan a un promedio de 20 organizaciones cada semana.

Autorreplicación a otros dispositivos de red

Lo que hace que esta nueva muestra de Ryuk sea diferente es su capacidad para copiarse a sí misma en otros dispositivos Windows en las redes locales de las víctimas.

Para propagarse a través de la red local, la nueva variante de Ryuk enumera todas las direcciones IP en la caché ARP local y envía lo que parecen paquetes Wake-on-LAN (WOL) a cada uno de los dispositivos descubiertos. Luego monta todos los recursos compartidos encontrados para cada dispositivo para que pueda cifrar el contenido.

Además, puede ejecutarse a sí mismo de forma remota utilizando tareas programadas creadas en cada host de red comprometido posteriormente con la ayuda de la herramienta legítima de Windows schtasks.exe.

La variante de Ryuk analizada en este documento tiene capacidades de autorreplicación. La propagación se logra copiando el ejecutable en los recursos compartidos de red identificados. A este paso le sigue la creación de una tarea programada en la máquina remota. Bleepingcomputer tiene más detalles y algunas sugerencias de mitigación, pero es una pesadilla de reinicio y una interrupción importante de la red si te golpea con uno de estos.

Fuente: KnowBe4

Seguir leyendo

Piezas clave para tu estrategia de protección de aplicaciones

Por: Emanuel Valle Conocer los elementos claves que requieres para proteger tus aplicaciones te ayudará a evitar los impactos negativos de ser expuesto a una brecha de ciberseguridad. De acuerdo con el...

Akira continúa ejecutando sus ataques con éxito

El nombre Akira resonó por primera vez apenas un año atrás y muy rápidamente se convirtió en uno de los principales grupos cibercriminales. Poco conocimiento se tenía de ellos entonces; sin embargo,...

Las 7 razones definitivas para invertir en proteger sus aplicaciones

Autor: Emanuel Valle. Las aplicaciones empresariales son necesarias para nuestra operación de negocio, pero al mismo tiempo pueden convertirse en un vector importante de ataque y dejar espacio para que los cibercriminales...

¿Deseas reducir las noticias más recientes? 

Subscríbete