Universal Health Services (UHS), una empresa de Fortune 500 y proveedor de servicios de salud, habría apagado todos sus sistemas en las instalaciones de Estados Unidos después de que el ransomware Ryuk atacara su red el 27 de septiembre, según un artículo en el sitio web de Health IT Security.
¿Qué es el ransomware Ryuk?
Ryuk es una sofisticada amenaza de ransomware dirigida a empresas, hospitales e instituciones gubernamentales de todo el mundo. A diferencia del ransomware común que se dirige a todo tipo de víctimas, Ryuk se utiliza normalmente para ataques personalizados.
Los atacantes utilizan técnicas de hackeo manual y herramientas de código abierto para desplazarse lateralmente a través de una red privada y obtener acceso administrativo. Ryuk es una versión modificada del ransomware Hermes.
Tanto Hermes como Ryuk son conocidos por identificar y cifrar dispositivos de red, y por eliminar las copias ocultas almacenadas en los endpoints. El rescate que exigen los atacantes suele ser exorbitante, ya que se requiere una gran cantidad de procesos manuales para iniciar este ataque.
Estos procesos manuales incluyen una extensa asignación de red, recopilación de credenciales y explotación directa, que se llevan a cabo antes de cada operación.
¿Cómo penetra las redes el ransomware Ryuk?
Las diferentes etapas del ataque del ransomware Ryuk son:
- Intrusión
- Movimiento lateral
- Robo de datos o impacto del ataque
Hay varias formas en las que se inicia un ataque, como los correos electrónicos de phishing, visitar sitios web no seguros o hacer clic en ventanas emergentes aleatorias. Ryuk casi siempre se distribuye a través de bots, como TrickBot o Emotet, que proporcionan acceso directo a la red de la víctima.
No todas las infecciones de TrickBot conducen a un ataque del ransomware Ryuk. Pero, cuando lo hacen, el ataque será letal. Por lo general, la implementación de Ryuk ocurre semanas después de que el bot se presente por primera vez en la red.
Esta brecha permite que el bot robe información sensible, haciendo que la organización sea vulnerable incluso antes del ataque real. A continuación, el atacante utiliza los datos recopilados por el bot para identificar la red potencial en la que se puede implementar Ryuk. Esto completa el ciclo de intrusión.
Una vez dentro de la red, el atacante inicia actividades de hackeo manual, como el reconocimiento de red y el movimiento lateral, que ayudan a comprometer a los controladores de dominios y dan acceso a tantos sistemas como sea posible.
La práctica de cifrado
Una vez que los atacantes encuentran un sistema adecuado, se cargan dos archivos en una subcarpeta dentro del directorio. A continuación, el atacante carga dos archivos en el directorio. Los dos archivos son:
PÚBLICO: Clave pública RSA
El proceso de cifrado comienza en esta fase.
El atacante busca en los sistemas de archivos, conectando unidades para iniciar el cifrado mediante WNetOpenEnum y WNetEnumResource. Cada vez que se cifra un archivo, se destruye la clave de cifrado. Una vez que se ha cifrado un archivo, se agrega la extensión .ryk. Es posible que algunos archivos no tengan ninguna extensión.
Ryuk puede cifrar varios archivos, excepto aquellos con extensiones .dll, .lnk, .hrmlog, .ini y .exe. También se excluyen los archivos almacenados en los directorios de Windows System32, Chrome, Mozilla, Internet Explorer y la Papelera de reciclaje. Probablemente esto sea para permitir que la víctima utilice un navegador para pagar el rescate.
Ryuk utiliza técnicas de cifrado muy sólidas. Esto asegura que los archivos no se recuperarán fácilmente. Los archivos suelen cifrarse mediante AES-256 y las claves de los archivos se almacenan en un archivo con la extensión .ryk. Luego, las claves AES se cifran con un par de claves privadas públicas RSA-4096 que el atacante controla por completo.
Ryuk se considera un ataque maligno ya que implica cifrar varias claves con otras claves, y todo el proceso está hecho a la medida para víctimas específicas. Esto significa que, incluso si se publica la clave privada de una víctima, no ayudará a descifrar los archivos que pertenecen a otra víctima.
¿Qué hace que Ryuk sea letal?
Hasta ahora, ninguna herramienta de código abierto ha sido capaz de descifrar archivos Ryuk. Además, la clave de descifrado proporcionada por el atacante, incluso después de que se haya pagado el rescate, a veces corrompe archivos. Incluso después del proceso de recuperación, el atacante puede corromper los archivos esenciales necesarios para realizar operaciones en el sistema.
Como cualquier otro programa de ransomware, Ryuk intenta acceder y eliminar las copias ocultas de los datos almacenados en el sistema para evitar su recuperación a través de medios alternativos. También contiene una secuencia de comandos kill.bat que deshabilita servicios importantes, como las copias de seguridad de red y antivirus de Windows Defender.
Cómo mitigar el impacto del ataque
Para defenderse exitosamente contra los ataques operados por personas, es esencial seguir algunas prácticas recomendadas básicas. Desafortunadamente, algunas organizaciones a veces desactivan temporalmente su antivirus, u otros controles de seguridad, para mejorar el rendimiento de su sistema.
Sin embargo, desactivar los sistemas de seguridad, aunque sea por un corto período de tiempo, da a los hackers la oportunidad de ingresar y afectar la red. En estos casos, los atacantes podrían aprovechar el malware detectado anteriormente por el antivirus para llevar a cabo un nuevo ataque.
Algunas de las otras debilidades comúnmente explotadas en una red son:
- No tener una protección de firewall o autenticación multifactor (MFA)
- Tener credenciales de dominio débiles
- Desactivar el sistema de prevención de intrusiones
- Acceder a sitios web no seguros
Algunas de las mejores prácticas que pueden ayudar a mitigar el riesgo de un ataque son:
- Aplicar parches y actualizar las aplicaciones y los programas con regularidad. Esto asegura que los puntos de entrada para los posibles ataques de ransomware estén bloqueados.
- Asegurarse de que los firewalls y la prevención de intrusiones estén activados en la red.
- Requerir credenciales sólidas para el dominio.
- Implementar una solución completa que pueda monitorear su red y generar alertas.
¿Cómo puede ayudar Log360?
ManageEngine Log360, una solución completa de gestión de eventos e información de seguridad (SIEM), ayuda a monitorear la red y la infraestructura de TI, y proporciona alertas en tiempo real e informes out-of-the-box.
Log360 le ayuda a:
- Proteger sus plataformas on-premises, híbridas y en la nube.
- Frustrar los ataques de seguridad y proteger los datos confidenciales frente a las violaciones.
- Obtener una visión más profunda de la actividad de la red a través de una auditoría exhaustiva de los dispositivos de red.
- Automatizar el proceso de gestión de logs, incluidos los logs de la infraestructura de nube pública.
- Satisfacer los requisitos de cumplimiento fácilmente.
- Implementar acciones rápidamente luego de una infracción mediante funciones de análisis forense exhaustivas y mucho más.
Log360 también proporciona información sobre eventos como el acceso a aplicaciones, los cambios de configuración, el inicio de sesión en el firewall, los cambios en el registro, etc.
El componente de gestión de logs de Log360 EventLog Analyzer monitorea la red y detecta posibles amenazas. La solución proporciona alertas en tiempo real y genera informes completos que ayudan al administrador a tomar las medidas necesarias para proteger la red.