¿Sabes qué es el ransomware Ryuk? Los ransomwares son un tipo de malwares que tienen la capacidad de encriptar todos los datos valiosos de una persona o una compañía y, a cambio de la clave para descifrarlos, exigen el pago de una suma de dinero como rescate. El primer ransomware de la historia (AIDS Trojan) apareció en el año 1989, fue creado por el biólogo evolucionista Joseph Pop y se distribuyó vía disquete. La idea de Pop inspiraría a muchos hackers informáticos en el futuro, que formaron toda una industria a partir de estos malwares.
En el año 2021, aproximadamente 5,2 billones de dólares estadounidenses en transacciones con bitcoins se relacionaron con el pago de rescates de ransomware. El pago promedio de cada rescate ha sido de 139.739 dólares, pues normalmente los criminales se dirigen a empresas con altos niveles de recursos. Por ejemplo, en un solo ciberataque, un grupo de hackers de sombrero negro llamado REvil demandó 70 millones de dólares a cambio de una clave maestra para desencriptar datos “secuestrados”.
En este post, hablaremos sobre uno de los ransomwares más destructivos y cuál es su funcionamiento. También discutiremos los principales métodos de protección contra estos programas y qué hacer en el caso de ser víctima de uno. A continuación, te explicaremos qué es el ransomware Ryuk y por qué se considera una de las variantes más peligrosas de este tipo de malwares.
¿Qué es el ransomware Ryuk?
El ransomware Ryuk apareció por primera vez en el año 2018 y sus variantes fueron unas de las más utilizadas hasta el 2020, cuando empezaron a surgir nuevos softwares más populares. Se cree que Ryuk fue desarrollado por el grupo de hackers formado en Rusia, Wizard Spider, y para el mes de agosto de 2020, se habrían cobrado más de 3,7 millones de dólares estadounidenses por medio de este software malicioso.
El ransomware Ryuk se dirigió principalmente a compañías y organizaciones gubernamentales en Europa, Asia y Estados Unidos. Los atacantes acostumbraban escoger como víctimas a entidades como hospitales o puertos, que tenían recursos para pagar los rescates y, además, dependían críticamente de los datos encriptados.
Lamentablemente, muchas de estas organizaciones terminaban pagando dichos recates y el uso de Ryuk se convirtió en una actividad lucrativa para los atacantes. Se desarrollaron nueva variantes, cada vez más resistentes a análisis con antivirus y cajas de arena.
¿Cómo funciona Ryuk?
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaAhora sabes qué es el ransomware Ryuk y cómo se convirtió en un negocio lucrativo para algunos cibercriminales, por lo que, a continuación, hablaremos sobre su funcionamiento y por qué es tan peligroso cuando se ejecuta.
¿Cómo se propaga?
Un ataque de Ryuk se puede dar por medio de diferentes canales. Dos de los vectores más utilizados para propagar este programa malicioso son:
- Phishing: campañas engañosas por correo electrónico, que incluyen un link de descarga capaz de ejecutar el exploit del malware.
- Virus troyanos: el ransomware puede venir incluido con un archivo de descarga malicioso, que puede provenir de sitios que ofrecen programas piratas o archivos multimedia gratuitos sin licencia.
¿Cómo actúa?
Para entender qué es el ransomware Ryuk y por qué es tan peligroso, es necesario conocer cómo actúa.
Cuando el ransomware Ryuk infecta un ordenador, hace una ejecución remota de código para conectarse a una dirección IP del atacante. Desde allí, este puede hacer un escáner para mover el virus lateralmente por la red, en búsqueda de servidores que guarden información sensible para una organización.
El ransomware Ryuk, después del escaneo de la red, comienza cifrando los archivos compartidos de la misma. Después, encripta los archivos del ordenador con sistemas de cifrado simétrico (AES-256) y asimétrico (RSA-4096), que son imposibles de romper. El orden en el que realice estas tareas hace que el virus sea más difícil de detectar. Además, los ataques con ransomware suelen ocurrir por fuera de las horas de trabajo de la red.
Los ransomwares, de algún modo, deben proteger la estabilidad de los sistemas que atacan para facilitar el pago del rescate. Por ello, el ransomware Ryuk no encripta ningún archivo con extensiones .exe o .DLL, entre otras, ya que corresponden a ficheros esenciales para el sistema.
¿Cómo protegerse del ransomware Ryuk?
Ya hemos explicado qué es el ransomware Ryuk y cómo es su destructivo funcionamiento. Ahora, mencionaremos algunos métodos de defensa en contra de este malware:
- Escaneos frecuentes de la red. Debido a la manera en la que este ransomware se propaga, es necesario hacer un escaneo automático y frecuente de la red de trabajo de una organización. Esto podría detener un ataque a tiempo, ya que Ryuk tarda en cifrar todos los archivos.
- Copias de seguridad. Estas también deben hacerse de manera frecuente y, lo más importante, tienen que guardarse fuera de línea, pues si se hallan en servidores conectados a la red, serán demasiado fáciles de encontrar para el ransomware Ryuk y otros similares.
- Se aconseja no pagar el rescate, ya que esto incentiva el uso de estos programas para la industria del crimen y, además, se corre el riesgo de perder tanto los datos como el dinero.
¿Cómo aprender más?
Ahora sabes qué es el ransomware Ryuk, cómo funciona y por qué es un software tan peligroso. Si quieres aprender más sobre análisis de malware y ciberseguridad, aquí tenemos el curso perfecto para ti. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en hacking ético, criptografía y mucho más. ¿A qué estás esperando? ¡Matricúlate ya!