El ransomware Ryuk ha ganado una gran popularidad entre los ciberdelincuentes. La cantidad de ataques detectados aumentó de solo 5.123 en el tercer trimestre de 3 a más de 2019 millones en el tercer trimestre de 67, según un estudio de seguridad realizado por SonicWall.
Esto equivale a aproximadamente un tercio de todos los ataques de ransomware llevados a cabo este trimestre. La explosión de Ryuk también resultó en un aumento del 3 por ciento en la cantidad total de ataques de ransomware informados en el tercer trimestre de 2020 en comparación con el mismo período en 2019.
Ransomware Ryuk extremadamente popular
Ryuk es un tipo sofisticado de ransomware que se usa contra organizaciones de todo el mundo para bloquearlas de sus redes y archivos informáticos hasta que se pague el rescate exigido. Ryuk cifra todos los archivos de destino con un fuerte cifrado basado en AES-256, excepto los archivos con extensiones dll, lnk, hrmlog, ini y exe. Ryuk también omite los archivos almacenados en los directorios de Windows System32, Chrome, Mozilla, Internet Explorer y la Papelera de reciclaje. Se cree que este proceso de eliminación preserva la estabilidad del sistema y permite a las víctimas acceder a un navegador para realizar pagos de rescate. Al igual que muchos ransomware, Ryuk intenta eliminar las instantáneas de disco para evitar que las víctimas puedan recuperar sus datos a través de medios alternativos.
Rescate promedio: $ 750.000
Después de infectar con éxito los sistemas de destino, los perpetradores exigen un rescate por el monto de la capacidad de pago estimada de las víctimas. Según los investigadores, el rescate promedio recaudado es de alrededor de $ 750.000 (pagado en Bitcoin). Sin embargo, se estima que el pago más alto conocido hasta la fecha es de $34 millones presentado por una empresa desconocida a cambio de la clave de descifrado.
El grupo ruso detrás de los ataques es conocido por utilizar técnicas de piratería manual altamente efectivas y herramientas de código abierto para moverse lateralmente en redes comprometidas. Esto ayuda a los ciberdelincuentes a obtener acceso a tantas áreas administrativas como sea posible y eliminar o cubrir sus huellas antes de detonar el ransomware con consecuencias devastadoras.
A qué objetivos se dirigen los ciberdelincuentes
Los ciberdelincuentes están apuntando a una amplia gama de sectores con Ryuk. Uno de los objetivos son los centros de salud, muchos de los cuales son particularmente vulnerables. Después de todo, los hospitales y los centros de atención médica a menudo tienen una gran cantidad de infraestructuras de red obsoletas que no están protegidas adecuadamente contra tales ataques cibernéticos.
En los últimos meses, los ataques a hospitales de todo el mundo han causado trastornos. En septiembre de 2020, un ataque paralizó los sistemas informáticos del Hospital Universitario de Düsseldorf y provocó la muerte de un paciente que tuvo que ser trasladado a un hospital más alejado en lugar de a la clínica cercana. También se cree que Ryuk está detrás del reciente ataque de ransomware en Universal Health Services (UHS), que opera aproximadamente 400 hospitales y centros de atención en los EE. UU. y el Reino Unido, lo que convierte al ataque en uno de los ciberataques de atención médica más grandes en la historia de los EE. UU. .
Qué pueden hacer las organizaciones para proteger
Tim Bandos, director de seguridad de la información en Digital Guardian
La industria de la ciberseguridad ya ha tomado numerosas medidas para ayudar a las organizaciones a defenderse contra el auge de Ryuk. Por ejemplo, muchos proveedores de protección avanzada contra amenazas (ATP) han lanzado paquetes de políticas gratuitos que los clientes pueden usar para actualizar sus herramientas y soluciones de seguridad existentes para detectar rápidamente actividad sospechosa en la red que indica un posible ataque Ryuk. Estos incluyen la detección de la edición masiva de archivos con extensiones de ransomware Ryuk conocidas, la eliminación de instantáneas de volúmenes y los intentos de conectarse a la infraestructura de comando y control conocida asociada con la campaña de ransomware. Además, las organizaciones pueden tomar los siguientes pasos básicos para fortalecer sus defensas de ciberseguridad contra amenazas como Ryuk:
Copias de seguridad periódicas de los datos
Realizar copias de seguridad periódicas de todos los datos críticos de la organización es una de las mejores formas de minimizar la interrupción de los flujos de trabajo en caso de un ataque exitoso. Mantener estas copias de seguridad fuera de la red principal evita que se eliminen o cifren como parte de un ataque.
Mantenga actualizados los parches de seguridad
Como se mencionó, los proveedores de servicios de ciberseguridad ya están bien informados sobre Ryuk y la gran mayoría ha actualizado sus productos y soluciones para detectar las firmas de Ryuk. Sin embargo, estas actualizaciones no tendrán efecto hasta que los clientes instalen los últimos parches de seguridad en sus redes. Por lo tanto, es fundamental que dichos parches se instalen tan pronto como se publiquen.
Educar a los empleados sobre la seguridad cibernética.
Incluso las amenazas cibernéticas avanzadas aún se basan a menudo en los vectores de ataque más básicos, como correos electrónicos de phishing y tácticas de ingeniería social. Por lo tanto, los empleados deben recibir cursos de capacitación regulares sobre cómo reconocer estos ataques.
Ryuk representa una fuerte amenaza para las organizaciones de todo el mundo, especialmente para las instalaciones de atención médica, muchas de las cuales son particularmente vulnerables en este momento. Por lo tanto, es importante que las organizaciones evalúen sus protecciones existentes, identifiquen vulnerabilidades e implementen las soluciones adecuadas para mitigar los riesgos de estos ataques.
Obtenga más información en DigitalGuardian.com
Acerca de Guardián Digital Digital Guardian ofrece seguridad de datos sin concesiones. La plataforma de protección de datos entregada en la nube está diseñada específicamente para evitar la pérdida de datos de amenazas internas y atacantes externos en los sistemas operativos Windows, Mac y Linux. La plataforma de protección de datos de Digital Guardian se puede implementar en la red empresarial, los terminales tradicionales y las aplicaciones en la nube. Durante más de 15 años, Digital Guardian ha permitido a las empresas con uso intensivo de datos proteger sus activos más valiosos en SaaS o en un servicio totalmente administrado. La visibilidad de datos única y sin políticas de Digital Guardian y los controles flexibles permiten a las organizaciones proteger sus datos sin ralentizar sus operaciones comerciales.