Una nueva cepa de Ryuk tiene una característica similar a un gusano que le permite propagarse a todos los demás dispositivos en las redes locales de las víctimas. Fue descubierto por el CERT francés, su agencia nacional de ciberseguridad, mientras investigaba un ataque a principios de 2021.
“Mediante el uso de tareas programadas, el malware se propaga, de máquina a máquina, dentro del dominio de Windows”, dijo ANSSI (abreviatura de Agence Nationale de la Sécurité des Systèmes d’Information) en un informe (PDF). “Una vez lanzado, se propagará por sí mismo en todas las máquinas accesibles en las que sea posible acceder a Windows RPC”.
Ryuk es un grupo de ransomware como servicio (RaaS) descubierto por primera vez en agosto de 2018 que ha dejado una larga lista de víctimas. Está en la parte superior de las clasificaciones de RaaS, y sus cargas útiles se descubrieron en aproximadamente uno de cada tres ataques de ransomware durante el último año. El grupo entrega cargas útiles como parte de ataques de múltiples etapas utilizando vectores de infección Emotet, BazarLoader o TrickBot para acceder rápidamente a las redes de sus objetivos, generalmente a través de ataques de phishing.
Los afiliados de Ryuk han estado detrás de una ola masiva de ataques contra el sistema de salud de EE. UU. A partir de noviembre de 2020. Comúnmente piden grandes rescates, habiendo recaudado 34 millones de dólares de una sola víctima el año pasado. Durante el tercer trimestre de 2020, se ha observado que los afiliados de Ryuk llegan a un promedio de 20 organizaciones cada semana.
Autorreplicación a otros dispositivos de red
Lo que hace que esta nueva muestra de Ryuk sea diferente es su capacidad para copiarse a sí misma en otros dispositivos Windows en las redes locales de las víctimas.
Para propagarse a través de la red local, la nueva variante de Ryuk enumera todas las direcciones IP en la caché ARP local y envía lo que parecen paquetes Wake-on-LAN (WOL) a cada uno de los dispositivos descubiertos. Luego monta todos los recursos compartidos encontrados para cada dispositivo para que pueda cifrar el contenido.
Además, puede ejecutarse a sí mismo de forma remota utilizando tareas programadas creadas en cada host de red comprometido posteriormente con la ayuda de la herramienta legítima de Windows schtasks.exe.
La variante de Ryuk analizada en este documento tiene capacidades de autorreplicación. La propagación se logra copiando el ejecutable en los recursos compartidos de red identificados. A este paso le sigue la creación de una tarea programada en la máquina remota. Bleepingcomputer tiene más detalles y algunas sugerencias de mitigación, pero es una pesadilla de reinicio y una interrupción importante de la red si te golpea con uno de estos.
Fuente: KnowBe4