Intro: El ransomware Ryuk
Ryuk es una amenaza ransomware avanzada que se dirige a empresas y otras grandes organizaciones con el fin de extorsionar grandes cantidades de dinero. Desde 2018, el ransomware Ryuk ha comprometido con éxito escuelas, hospitales, empresas y otras organizaciones.
Este artículo tratará en profundidad qué es el ransomware Ryuk, a quién ataca y tiene como objetivo el ransomware Ryuk y responderá a otras preguntas comunes sobre el ransomware Ryuk. Es importante que las organizaciones de todos los tamaños comprendan las ciberamenazas de la era moderna y cómo los servicios de ciberseguridad como Mimecast pueden ayudar a mitigar el riesgo y los daños de los ataques de ransomware. Todos somos objetivos potenciales de los ataques del ransomware Ryuk, pero nadie tiene por qué enfrentarse solo a las amenazas de la ciberseguridad.
Mimecast se dedica a reunir a todas las organizaciones de la comunidad empresarial para protegerlas contra los ataques de ransomware. Nuestra misión es proporcionar a su organización servicios que le permitan continuar con sus operaciones de forma eficaz y segura, al tiempo que capacitamos a todos los miembros de su equipo para que sean capaces de identificar, evitar e informar adecuadamente sobre posibles ciberamenazas.
¿Qué es el ransomware Ryuk?
El ransomware Ryuk es un tipo de ransomware operado por humanos que ha sido conocido por tener como objetivo grandes cibersistemas Microsoft Windows. Debido a que es operado por humanos, puede volar bajo el radar de muchos protocolos básicos de seguridad e infectar rápidamente la red de una organización.
Tras infiltrarse con éxito en la red privada de la organización objetivo, el virus se despliega de forma encubierta y cifra rápidamente los archivos y otros datos confidenciales, exigiendo un rescate para desbloquear el acceso a los mismos.
Ryuk infecta a las organizaciones a través de campañas de phishing, atrayendo a las víctimas con enlaces o documentos que contienen malware. Una vez que alguien de la red abre o descarga el malware, el virus Ryuk comienza a cifrar los archivos de los sistemas infectados. Esto impide a los usuarios normales acceder a sus propios archivos y, para recuperar el acceso, se les pide que paguen un rescate, normalmente en una moneda difícil de rastrear como Bitcoin.
¿A quién va dirigido el ransomware Ryuk?
El ransomware Ryuk se dirige a grandes organizaciones, concretamente hospitales, empresas e instituciones gubernamentales que utilizan cibersistemas Windows y disponen de activos críticos, como datos confidenciales de estudiantes, pacientes, empleados y clientes.
Los creadores de Ryuk suelen seguir un enfoque de "caza mayor", lo que significa que se dirigen a organizaciones que pueden permitirse pagar un gran rescate.
Preguntas frecuentes sobre el ransomware Ryuk
Las siguientes son algunas preguntas frecuentes sobre el ransomware Ryuk. Si tiene más preguntas o necesita una respuesta inmediata a una amenaza activa de Ryuk, no dude en ponerse en contacto con nosotros.
¿Por qué se llama ransomware Ryuk?
El nombre Ryuk (pronunciado Ree-yook) procede originalmente de un personaje de manga japonés de la serie Death Note. El personaje Ryuk es una criatura sobrenatural que deja caer una nota en el mundo humano. La nota es recogida por Light Yagami, el protagonista humano, que al descubrir la nota desbloquea un poder oscuro y se propone cambiar caóticamente el mundo. Yagami tiene la intención de hacer cosas buenas y ataca a las organizaciones criminales que se ven impotentes ante los poderes sobrenaturales que le ha otorgado Ryuk.
El ransomware Ryuk funciona de forma similar en el sentido de que el ciberataque comienza cuando las víctimas acceden al malware haciendo clic en enlaces y/o descargando archivos que contienen malware. Sin embargo, en la vida real, el ransomware Ryuk es desplegado por delincuentes que extorsionan a empresas y entidades públicas.
¿Cómo funciona Ryuk?
- Ryuk funciona cifrando los archivos de los sistemas infectados. A diferencia de otros tipos de ransomware, Ryuk es operado por humanos, lo que dificulta su detección autónoma. Los ciberatacantes que operan Ryuk interactúan de tal forma que parece una actividad normal para los sistemas de seguridad básicos.
Ryuk despliega una campaña de phishing. Esto puede implicar el envío de correos electrónicos a los usuarios que contengan malware a través de enlaces y/o archivos adjuntos. Las víctimas también pueden descubrir y descargar programas maliciosos al navegar por Internet o al intentar conectarse a lo que parece ser una red WiFi normal.
- Cuando la víctima hace clic en el enlace o abre el archivo adjunto, la carga útil (carga de datos utilizada para interactuar maliciosamente con el ordenador de la víctima) se despliega en el ordenador del usuario. Para un ojo inexperto, las descargas de la carga útil tienen un aspecto muy similar a los archivos habituales de Windows.
- A partir de aquí, se despliegan programas informáticos maliciosos diseñados para robar credenciales, a menudo mediante un malware llamado Trickbot. En algunos casos, Ryuk se entrega a través de RDP o exploit, lo que lo convierte en un ataque totalmente humano. Ryuk puede utilizar el movimiento lateral, lo que significa que puede desplazarse de un dispositivo a otro dentro de la red. Como roba credenciales como contraseñas y credenciales FTP, su actividad no parecerá inusual a la mayoría de los monitores de seguridad de la red.
Este proceso lo llevan a cabo operadores humanos que buscan de forma encubierta puntos débiles que explotar, como protección antivirus desactivada intencionadamente, credenciales de dominio débiles y/o contraseñas de administrador local no aleatorias.
- Una vez que Ryuk burla la seguridad de la red, pone en marcha su cifrado de archivos, que los hace inaccesibles para los usuarios de la red. También desactiva la restauración de Windows, para que la víctima no pueda recuperar los archivos comprometidos.
- Los archivos encriptados conservarán sus nombres pero tendrán una nueva extensión, .RYK que indica que han sido encriptados por el virus Ryuk. La víctima verá un mensaje de texto pidiéndole un pago a cambio de desencriptar los archivos.
¿Qué ocurre en un ataque del ransomware Ryuk?
Durante un ataque Ryuk, todos los archivos, incluidos documentos, imágenes, vídeos, etc. son encriptados, y conservarán sus nombres originales con una extensión .RYK añadida. Ryuk también puede identificar y cifrar las unidades de red, haciendo inaccesibles sus archivos y programas. Además, Ryuk borrará las instantáneas, lo que hará imposible recuperar los datos comprometidos sin disponer de copias de seguridad externas adecuadas.
¿Cómo puedo protegerme contra el ransomware Ryuk?
Estos son algunos consejos básicos que puede seguir para protegerse contra el ransomware Ryuk:
- Utilice una herramienta de seguridad de confianza: Las herramientas avanzadas de seguridad del correo electrónico, como Mimecast, pueden ayudar a prevenir algunos ataques del ransomware Ryuk. El servicio de seguridad del correo electrónico de Mimecast, líder del sector, cuenta con la confianza de 40.000 organizaciones en todo el mundo gracias a sus características únicas y fáciles de usar. Por ejemplo, Mimecast no sólo puede detectar enlaces sospechosos, sino impedir que los usuarios de su organización hagan clic en ellos.
- Contener y remediar los ataques exitosos basados en el correo electrónico: con las capacidades de Protección Interna del Correo Electrónico de Mimecast que pueden utilizarse para buscar y destruir correos electrónicos maliciosos en las bandejas de entrada de los usuarios. Nuestros servicios de continuidad también pueden mantener operativo el canal de correo electrónico de una organización durante el éxito de un ataque.
- Haciendo que sea rápido y fácil para las organizaciones conectar y optimizar sus ecosistemas de seguridad: El Mimecast Tech Exchange proporciona una arquitectura extensible que ayuda a las organizaciones a reforzar las protecciones, acelerar la detección y agilizar la respuesta.
- Exija la autenticación multifactor: La autenticación multifactor dificulta enormemente a los ciberatacantes el acceso remoto a la red interna de su organización.
- Formación sobre concienciación en materia de seguridad: Una de las formas más comunes en que los ciberatacantes consiguen infiltrarse en las organizaciones es con campañas de phishing que inducen a los individuos a hacer clic en enlaces o a descargar archivos que contienen malware. La formación de concienciación de Mimecast y los banners de advertencia de CyberGraph proporcionan a los empleados los conocimientos necesarios para detectar y evitar una amplia variedad de tipos de ataque que pueden abrir la puerta al ransomware.
Todos estamos juntos en la lucha contra los ciberataques, y la formación de concienciación de Mimecast pretende capacitar a todo el mundo para que sea capaz de poner de su parte para mantenerse a sí mismo y a su organización a salvo. La mayor parte de ese empoderamiento proviene de aprender a identificar las amenazas potenciales, a cumplir con el protocolo básico de seguridad y a unirse como una comunidad que valora la seguridad. También descubrimos que la risa ayuda a aprender, por lo que su equipo podría echarse unas risas viendo nuestros vídeos de formación junto con grandes consejos sobre cómo proteger su organización.
- Archivo para proteger los datos empresariales: No siempre resulta práctico realizar copias de seguridad de todos sus datos en un dispositivo físico externo, como un disco duro externo. Imagine poder guardarlo todo en una cámara digital segura. Eso es precisamente lo que ofrece el servicio de ciberseguridad basado en la nube de Mimecast. Nuestras funciones Sync & Recover pueden ayudar a acelerar la vuelta a la normalidad proporcionando una restauración puntual de las bandejas de entrada de correo electrónico.
Cómo proteger su empresa del ransomware Ryuk
El ransomware Ryuk es una amenaza de ciberseguridad que no debe tomarse a la ligera, pero con los protocolos de seguridad adecuados, su organización podrá evitar con mayor probabilidad un ataque Ryuk.
A principios de 2021, la actividad de Ryuk fue relativamente tranquila, pero desde entonces ha aumentado su actividad. Un ransomware más reciente pero similar, Conti, es cada vez más frecuente. Algunos especulan que Conti pronto sustituirá a Ryuk como ransomware preferido por los ciberatacantes.
Si hay algo que hay que saber sobre la defensa contra Ryuk o cualquier tipo de ataque de ransomware, es que los ciberatacantes se aprovechan de las organizaciones que tienen debilidades obvias, a saber, una falta de seguridad activa y/o empleados que carecen de formación sobre concienciación de seguridad. El simple hecho de contar con protocolos de seguridad sólidos demuestra que su organización va en serio cuando se trata de proteger sus datos, empleados y clientes.
Con los programas de seguridad de Mimecast, nos comprometemos a luchar juntos contra los estafadores y los ciberdelincuentes. Para comprender cómo los servicios de seguridad digital de Mimecast pueden ayudar a su empresa, obtenga una demostración sobre la protección contra el ransomware Ryuk.
