Tras una investigación de una
reconocida empresa del mundo IT se descubrió el Ransomware Ryuk presuntamente
creado por cibercriminales desde Corea del Norte.
Los encargados de la
investigación informaron que el ransomware Ryuk había atacado a innumerables
organizaciones en el mundo; por la forma de actuar del ransomware esté fue
desarrollado con una estructura planificada para cifrar los datos almacenados
de cientos de computadores.
Estos ataques dejaron al
descubierto que Ryuk está posiblemente conectado con el malware Hermes que se
relacionó al grupo cibercriminal APT de Lazarus, sin embargo, no pueden descartar
la probabilidad de que el código fuente de Hermes lo esté ejecutando otro
atacante, ya que ambos códigos maliciosos utilizan el mismo dropper.
Por otra parte, los expertos
publicaron a través de un informe que “Ryuk se usa exclusivamente para ataques
personalizados. De hecho, su esquema de cifrado está diseñado
intencionalmente para operaciones a pequeña escala, de modo que solo se
infectan activos y recursos cruciales en cada red objetivo, con su infección y
distribución llevadas a cabo manualmente por los atacantes”.
Al momento de actuar, el
ransomware cumple una suspensión de varios segundos, para luego observar si se
ejecutó con un argumento específico eliminando más de 40 procesos y más de 180
servicios asociados con el antivirus, base de datos, respaldos y software de
edición de documentos.
Ryuk tiene la capacidad de
destruir las claves de cifrado y eliminar varios archivos de copias de
seguridad del disco evitando que las víctimas puedan recuperar sus archivos.
Los expertos estiman que con
este ransomware los atacantes han logrado recopilar más de 640.000 dólares.
Fuente: Security Affairs