RYUK y BITPAYMER: la segunda pandemia de virus capaces de secuestrar los datos de cualquier organización

Pentesting - Verne Group

RYUK y BITPAYMER son los nuevos nombres de moda en el mundo de la ciberseguridad. Estos dos virus de tipo ransomware han provocado una nueva pandemia de ciberataques a organizaciones privadas y públicas muy conocidas, las cuales han sufrido importantes daños económicos, operativos y reputacionales. 

Desconfianza y riesgo 

La singularidad de esta segunda ola de virus es la enorme desconfianza que han generado y el pánico que se desató desde el primer momento en que se dieron a conocer los primeros pacientes 0. Daba igual que tu empresa estuviera o no infectada, el rumor provocó que se diera la orden de apagar los sistemas y revisar toda la infraestructura de comunicaciones para comprobar que no existía contagio. ¿Las consecuencias? Paralización de la actividad y una enorme pérdida de confianza por parte de los diferentes grupos de interés que se traduce en algo mucho más tangible: pérdidas económicas a corto y medio plazo.  

Estoy infectado, ¿qué hago? 

Para las empresas que tuvieron la mala fortuna de ser infectadas por estos potentes virus, las primeras preguntas se orientaron hacia el origen del ciberataque y los daños reales ocasionados. Una tarea que se complicaba con la cuenta atrás que los ciberdelincuentes emitían entre sus víctimas, las cuales solo tenían opción de recuperar la documentación sensible encriptada o secuestrada mediante el pago de la cantidad solicitada para el rescate. 

Y nace la eterna duda: ¿pagar o no pagar un rescate? Esa no debería ser la cuestión. 

No ha sido ni el primer ni el último caso de ataque ransomware en empresas. De hecho, la ciberdelincuencia se ha convertido en un negocio que supera ya al del narcotráfico. 

Estos tipos de ransomware han pasado a funcionar como un producto empresarial más ofertado a muy buen precio por sus creadores expertos en ciberseguridad, quienes lo explotan de forma muy profesional. Ellos conocen a la perfección su objetivo y lo que buscan, y utilizan todos los recursos que la red pone a su alcance para conseguirlo. Por eso es tan complicado detectarlo a priori. 

Por ejemplo, Ryuk es un virus que funciona por campañas. Se introducen en los sistemas hasta encontrar una brecha de seguridad que le permita arrasar con todo. Su objetivo: encriptar el contenido, ponerle un precio para devolver la información, recibir la cantidad de dinero del rescate e irse sin hacer saltar las alarmas.  

El paso más duro es toma la decisión de pagar o perder. Un momento delicado porque se debe analizar todo lo que han secuestrado, analizar las consecuencias de no pagar y decidir si empezar de 0 o asumir el coste del rescate para recuperar todo el material encriptado. 

Ciberdelincuentes capaces de paralizar una empresa 

Los ciberdelincuentes ofrecen la dirección de un monedero virtual para efectuar el pago en Bitcoins u otras criptomonedas. También ofrecen emails para poder contactar con los atacantes e incluso, en muy pocos casos, llegar a posibles negociaciones. 

Mientras la empresa decide si pagar o no pagar, sus sistemas caen dejando fuera de juego a todos sus trabajadores. Cunde el caos. 

La empresa se cuestiona las consecuencias de perderlo todo y empezar de 0. Los trabajadores inician una reflexión sobre sus prácticas laborales y se pone en valor toda la información sensible y estratégica de la que ya no disponen y que, de no pagar el rescate, tendrán que volver a crear.  

Una situación difícil para empresa y trabajadores que desde ese deben colaborar sin reproches para menguar el impacto y devolver la tranquilidad a su día a día. 

Y cómo medir las consecuencias sin conocer el origen del ataque 

Existen tres posibles vectores que fueron y aún soy entrada del ransomware en los sistemas y equipos: 

  1. Un archivo asociado a un correo electrónico que tras ejecutarse inyecta el virus en los equipos y sistemas operativos  

  1. Vulnerabilidades presentes en el software de la organización dentro de su paquete Microsoft. 

  1. Spam mediante campaña que han sido recurrentes en esas últimas semanas. 

Algunas fuentes aseguran que existe relación directa con BlueKeep (wiki) una vulnerabilidad de software de Microsoft que afecta a versiones antiguas de Microsoft Windows y que ataca al protocolo de escritorio remoto (RDP) permitiendo conectarse con otro ordenador a través de una conexión de red. Una amenaza que alcanzó la fama y las portadas de los medios de comunicación en 2017 con el famoso WannaCry, Bad Rabbit o RobbinHood (wiki). 

 

¿Hay opción de no ser víctima de este tipo de ataques? 

La realidad es que sí >> Sigue Leyendo