Així és Ryuk, el ransomware que estaria bloquejant ordinadors a Espanya

/in /per

Des de fa uns dies, Europa està patint un ciberatac basat en ransomware, un tipus de malware especialitzat en “segrestar” els nostres arxius.

Aquest cas és més cridaner del que és habitual per la seva ràpida expansió i la quantitat de grans empreses a les que afecta. Tot indica que es tracta d’un atac ben planejat, i que no és coincidència que tantes empreses hagin caigut a el mateix temps.

La llista completa encara no es coneix en el moment d’escriure aquestes paraules, però ja s’ha confirmat que la cadena Ser i Everis s’han vist afectades. No serien les úniques, i les xarxes socials s’han omplert de rumors sobre les possibles afectades.

Aquestes empreses han hagut d’apagar tots els ordinadors i desconnectar les seves xarxes d’Internet. Passos necessaris per evitar que el ransomware s’estengui i produeixi més danys, però que poden ser molt costosos i afectar el servei. Però, què és el que ha aconseguit aturar en sec a tantes empreses?

Ryuk, especialitzat contra empreses

Gràcies a algunes captures de pantalla publicades en xarxes socials, tot indica que es tracta d’un ransomware, concretament, d’un relativament nou anomenat Ryuk.

Un ransomware és un programa maliciós que, un cop instal·lat a l’ordinador, xifra nostres arxius amb una clau secreta. A continuació, mostra un missatge en pantalla, en què indica la víctima que ingressi una certa quantitat de diners per recuperar els seus arxius.

 

Ryuk és un ransomware que va aparèixer a la xarxa per primera vegada a l’agost de 2018; però només ha estat en els últims mesos que realment s’ha expandit.

La gran diferència de Ryuk enfront d’altres ransomware és que està especialitzat en atacar entorns empresarials.

Per tant, si algun usuari convencional acaba amb Ryuk instal·lat al seu ordinador, no seria més que una víctima col·lateral; el veritable objectiu dels seus creadors és guanyar ingents quantitats de diners atacant directament a les empreses.

Un cop milionari

La quantitat exacta sembla variar depenent de l’empresa de destinació. El missatge que Ryuk mostra en pantalla quan s’activa a l’ordinador objectiu no diu quant cal pagar per la clau; això és relativament rar, ja que els atacants normalment volen tractar amb la víctima el menys possible.

És el que va passar amb el cas de ransomware més famós de la història, WannaCry. Aquest programa va bloquejar centenars de milers d’ordinadors només al maig de 2017, quan va ser llançat. Es calcula que els creadors de WannaCry rebien uns 360.000 dòlars mensuals d’aquesta manera.

 

CrowdStrike

En el cas de Ryuk, el missatge no mostra només una adreça de cartera de Bitcoin per realitzar el pagament. A més, es presenten dues adreces de correu electrònic perquè la víctima contacti directament amb els atacants, a més d’una clau de referència.

La quantitat de Bitcoin a pagar varia enormement, depenent de el cas. Fins ara, la menor demanda ha estat de 1.7 BTC (14.000 €), i la més gran, de 99 BTC, uns 820.000 €. Estem parlant d’atacs a grans empreses, que en teoria podrien pagar rescats semblants.

Suposadament, el procés consistiria a fer el pagament i contactar amb els atacants per correu amb la clau; aquests comprovarien si hem realitzat el pagament i respondrien amb la contrasenya per desxifrar les dades. Potser els atacants hagin decidit utilitzar aquest procés a causa de la magnitud de les xifres que demanen.

Com funciona Ryuk

Les sospites que estem davant d’un atac basat en Ryuk es basen en dos aspectes. Per començar, el missatge que apareix a l’ordinador és similar a el qual sol mostrar aquest ransomware; però, cal recordar que les úniques fotografies que tenim d’aquest atac provenen de supòsits empleats de les empreses afectades

 

 

L’altre detall, més important, és que Ryuk va rebre una nova versió fa tot just tres dies. La gran novetat és que ara Ryuk és capaç de distribuir-se a si mateix per una xarxa LAN privada, fins i tot si els ordinadors estan apagats; ho aconsegueix enviant paquets WOL (Wake-on-LAN), que permeten “despertar” a un ordinador si rep una ordre a través de la xarxa. Fins ara, Ryuk depenia d’altres mètodes per arribar a més ordinadors, com troians.

Això explicaria com és possible que Ryuk hagi infectat tants ordinadors tan ràpidament, especialment els que pertanyen a una mateixa xarxa.

 

Un atac centrat a Espanya

Se sospita que Ryuk va ser creat per Grim Spider, un grup de hackers especialitzats en atacar grans objectius per guanyar grans sumes de diners. Forma part de Wizard Spider, un grup de cibercriminals que fins l’any passat es centraven en el frau electrònic. Per a això usaven TrikBot, un troià, que era el qual ajudava a Ryuk a entrar en els ordinadors.

No obstant això, encara es desconeix si Grim Spider està darrere d’aquest atac massiu, però encaixaria amb el seu modus operandi.

Aquest atac amb Ryuk s’hauria realitzat tot i les limitacions pròpies de el programa; segons ha explicat Breet Callow de Emsisoft a Omicrono, Ryuk té algunes fallades de programació, o “bugs”, que poden fer que no funcioni correctament. Emsisoft, com a empresa de seguretat que forma part de el projecte No More Ransom de l’Europol, sap molt bé els riscos que comporten aquests bugs.

I és que això pot jugar a favor o en contra de l’usuari. Per exemple, gràcies a aquests errors és possible desxifrar els arxius fins i tot encara que no tinguem la clau. Tanmateix, això és només possible en alguns casos.

Més catastròfic és que passi un altre error, que destrueix els arxius xifrats. En concret, es calcula que un de cada vuit arxius xifrats per Ryuk no són recuperables.

Que l’atac té com a objectiu empreses espanyoles és evident quan veiem que Ryuk ja va ser utilitzat al llarg de l’últim any en altres països; especialment als EUA, on va afectar a desenes d’ajuntaments, col·legis i hospitals.