El infame ransomware Ryuk ha recibido una importante actualización, equipándolo con una nueva capacidad similar a un trabajo. La capacidad permite que el ransomware se propague a través de redes comprometidas., haciéndolo aún más peligroso.
Ryuk ransomware actualizado con una nueva capacidad similar a un gusano
La operación de ransomware Ryuk es una de las campañas más exitosas en términos de éxito financiero. Los ciberdelincuentes detrás de él han ganado más de $150 millones en Bitcoin de pagos de rescate, fabricado principalmente por organizaciones de todo el mundo.
La nueva capacidad maliciosa en el ransomware fue desenterrado por ANSSI. “Una muestra de Ryuk con capacidades similares a las de un gusano que le permite propagarse automáticamente dentro de las redes que infecta,fue descubierto durante una respuesta a incidentes manejada por la ANSSI a principios de 2021 ”, comparten los investigadores.
El informe también advierte que el ransomware permanece activo, dirigidos a hospitales durante la pandemia. Se sabe que Ryuk también apunta a otras organizaciones., tal como Sistema judicial de Georgia.
Capacidades de ransomware de Ryuk
El ransomware contiene un cuentagotas que suelta una de las dos versiones de un módulo de cifrado de datos. (32- o 64-bit) en el sistema de destino. Entonces, el cuentagotas ejecuta la carga útil. Después de una breve pausa, el ransomware detiene más de 40 procesos y 180 servicios, especialmente los relacionados con el software antivirus, bases de datos, y copias de seguridad, ANSSI advierte. La persistencia se logra mediante la creación de una clave de registro.
En términos de cifrado, Ryuk usa una combinación de simétrico (AES) y asimétrico (RSA) algoritmos de cifrado. Esta combinación no solo cifra los archivos, sino que también protege la clave de cifrado., haciendo imposible que un tercero descifre los datos.
Ryuk ransomware en campañas anteriores
Una de las actualizaciones anteriores de Ryuk incluyó la adición de una capacidad de lista negra de IP. Esta capacidad le permitió verificar la salida del parámetro "arp –a" para cadenas de direcciones IP específicas.
En caso de que se encuentren estas cadenas, el ransomware no cifraría los archivos en esa computadora. Los archivos recibieron el .extensión RICH como uno secundario, sin cualquier cambio realizado en el nombre original de un archivo cifrado.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: