Ryuk Ransomware surge en campaña altamente dirigida y altamente lucrativa
La operación altamente sofisticada comparte código con el malware Hermes, y puede estar vinculado al actor APT de Lazarus Group.
Un nuevo y específico ransomware ha irrumpido en la escena, atacando organizaciones bien elegidas y dirigidas en todo el mundo con una operación altamente sofisticada que puede estar vinculada a un conocido actor de APT.
En las últimas dos semanas, Ryuk ransomware ha cifrado cientos de PC, almacenamiento y centros de datos en cada una de las compañías infectadas, según Check Point, incluso dentro de tres empresas de gran valor en los Estados Unidos. Hasta ahora, la campaña en curso obtuvo $ 640,000 netos para los actores de la amenaza.
"A diferencia del ransomware común, sistemáticamente distribuido a través de campañas masivas de spam y kits de explotación, Ryuk se utiliza exclusivamente para ataques personalizados", dijeron los investigadores de Check Point en una publicación sobre el código, hoy. "De hecho, su esquema de encriptación está diseñado intencionalmente para operaciones de pequeña escala, de modo que solo se infectan activos y recursos cruciales en cada red objetivo con su infección y distribución llevadas a cabo manualmente por los atacantes".
Los investigadores dijeron que los atacantes están pidiendo sumas variadas a cambio del descifrado del archivo, dependiendo del objetivo, que va desde 15 BTC a 50 BTC (aproximadamente $ 96,000 a $ 320,000).
"Algunas organizaciones pagaron un rescate excepcionalmente grande", señalaron.
Los atacantes también están adaptando su enfoque de comunicaciones a las víctimas, incluido el uso de dos notas de rescate diferentes. Una es más larga, "bien redactada", según Check Point, y se usa para las organizaciones con solicitudes de rescate más elevadas. Una segunda nota es para las víctimas menos lucrativas, con una nota más desagradable.
Una nota de rescate más corta y más contundente.
Un nuevo y específico ransomware ha irrumpido en la escena, atacando organizaciones bien elegidas y dirigidas en todo el mundo con una operación altamente sofisticada que puede estar vinculada a un conocido actor de APT.
En las últimas dos semanas, Ryuk ransomware ha cifrado cientos de PC, almacenamiento y centros de datos en cada una de las compañías infectadas, según Check Point, incluso dentro de tres empresas de gran valor en los Estados Unidos. Hasta ahora, la campaña en curso obtuvo $ 640,000 netos para los actores de la amenaza.
"A diferencia del ransomware común, sistemáticamente distribuido a través de campañas masivas de spam y kits de explotación, Ryuk se utiliza exclusivamente para ataques personalizados", dijeron los investigadores de Check Point en una publicación sobre el código, hoy. "De hecho, su esquema de encriptación está diseñado intencionalmente para operaciones de pequeña escala, de modo que solo se infectan activos y recursos cruciales en cada red objetivo con su infección y distribución llevadas a cabo manualmente por los atacantes".
Los investigadores dijeron que los atacantes están pidiendo sumas variadas a cambio del descifrado del archivo, dependiendo del objetivo, que va desde 15 BTC a 50 BTC (aproximadamente $ 96,000 a $ 320,000).
"Algunas organizaciones pagaron un rescate excepcionalmente grande", señalaron.
Los atacantes también están adaptando su enfoque de comunicaciones a las víctimas, incluido el uso de dos notas de rescate diferentes. Una es más larga, "bien redactada", según Check Point, y se usa para las organizaciones con solicitudes de rescate más elevadas. Una segunda nota es para las víctimas menos lucrativas, con una nota más desagradable.
Una nota de rescate más corta y más contundente.
En general, la operación es claramente sofisticada e involucra muchas actividades de reconocimiento, como una amplia red de mapeo, piratería y recolección de credenciales. Esto sugiere que un actor bien afinado tira de las cuerdas, y Check Point encontró sugerencias en su análisis de las actividades que la APT del Grupo Lazarus de Corea del Norte podría estar detrás de todo.
Sin embargo, la atribución es algo difícil, especialmente dado que al seguir el rastro del dinero, los investigadores vieron que los autores de Ryuk están ocultando sus pagos recibidos dividiéndolos y transfiriéndolos entre múltiples billeteras. Después de que se realiza un pago de rescate a una billetera preasignada, alrededor del 25 por ciento de los fondos se transfieren a una nueva billetera. El monto restante también se transfiere a una nueva billetera; sin embargo, los fondos restantes se dividen y se vuelven a ubicar.
Una nota más agradable para objetivos más grandes.
"Ryuk ransomware no se ha distribuido ampliamente (...) solo se ha usado en ataques dirigidos, lo que hace que sea mucho más difícil rastrear las actividades y los ingresos del autor del malware", dijeron los analistas de Check Point. "Casi cada muestra de malware recibió una billetera única y poco después de que se realizara el pago del rescate, los fondos se dividieron y se transmitieron a través de varias otras cuentas".
Conexiones a Hermes
Si bien la operación es sofisticada, las capacidades técnicas del ransomware son relativamente bajas, encontró Check Point. Sin embargo, su código tiene similitudes notables con el ransomware Hermes, un malware comúnmente atribuido al Grupo Lazarus. Hermes obtuvo publicidad por primera vez en octubre de 2017 cuando se utilizó como parte de un sofisticado ataque SWIFT contra el Far Eastern International Bank (FEIB) en Taiwán.
Las similitudes entre los códigos incluyen el hecho de que la lógica de cifrado de Ryuk se parece a la que se encuentra en el ransomware Hermes, dijeron los investigadores.
"De hecho, si comparamos la función que encripta un solo archivo, vemos mucha similitud en su estructura", según Check Point. "De hecho, parece que el autor de Ryuk ni siquiera se molestó en cambiar el marcador en los archivos cifrados ya que el código utilizado para generar, colocar y verificar este marcador para determinar si un archivo ya estaba encriptado es idéntico en ambos malwares "
Además, la firma notó que ambas incluyen carpetas similares en la lista blanca (por ejemplo, "Ahnlab", "Microsoft", "Chrome", "Mozilla", "$ Recycle.Bin", etc.); ambos escriben un script por lotes llamado "window.bat" en la misma ruta; y en ambos casos, hay archivos caídos en el disco ("PUBLIC" y "UNIQUE_ID_DO_NOT_REMOVE") que son similares en nombre y propósito.
"Esto nos lleva a pensar que la ola actual de ataques dirigidos a Ryuk puede ser obra de los operadores de Hermes, del supuesto grupo norcoreano o del trabajo de un actor que obtuvo el código fuente de Hermes", señalaron los investigadores.
Además, con respecto a los archivos incluidos en la lista blanca, el ransomware realiza un barrido recursivo estándar de cada unidad y recurso compartido de red en el sistema de la víctima, y encripta todos los archivos y directorios, excepto los que contienen texto de la lista blanca codificada.
"Está claro por qué los atacantes querrían que el navegador web de la víctima permanezca intacto dado que puede ser necesario para leer la nota de rescate, comprar criptomonedas, etc.", señalaron los investigadores. "Pero no está tan claro por qué a los atacantes les preocupa encriptar la copia de la víctima de un producto de protección de punto final de Corea del Sur, especialmente dado que este ataque ni siquiera estaba dirigido a usuarios de Corea del Sur".
Sin embargo, sí tiene sentido si el ransomware Hermes se reutiliza y renombra como ransomware "Ryuk".
Además, cuando se trata del modelo de confianza, el Hermes original en realidad generó los pares de claves RSA de nivel dos por víctima, en lugar de incrustar copias codificadas en las muestras de malware; sin embargo, "la función de encriptación en sí misma, incluido el formato de archivo encriptado y su archivo de magia único asociado 'Hermes', se reproducen al por mayor en la versión renombrada".
En última instancia, tanto la naturaleza del ataque como el propio funcionamiento interno del malware vinculan a Ryuk con el ransomware de Hermes.
"Esto despierta curiosidad con respecto a la identidad del grupo detrás de él y su conexión con el Grupo Lazarus", concluyeron los investigadores. "Creemos que este no es el final de esta campaña y que es probable que otras organizaciones sean víctimas de Ryuk".
Sin embargo, la atribución es algo difícil, especialmente dado que al seguir el rastro del dinero, los investigadores vieron que los autores de Ryuk están ocultando sus pagos recibidos dividiéndolos y transfiriéndolos entre múltiples billeteras. Después de que se realiza un pago de rescate a una billetera preasignada, alrededor del 25 por ciento de los fondos se transfieren a una nueva billetera. El monto restante también se transfiere a una nueva billetera; sin embargo, los fondos restantes se dividen y se vuelven a ubicar.
Una nota más agradable para objetivos más grandes.
"Ryuk ransomware no se ha distribuido ampliamente (...) solo se ha usado en ataques dirigidos, lo que hace que sea mucho más difícil rastrear las actividades y los ingresos del autor del malware", dijeron los analistas de Check Point. "Casi cada muestra de malware recibió una billetera única y poco después de que se realizara el pago del rescate, los fondos se dividieron y se transmitieron a través de varias otras cuentas".
Conexiones a Hermes
Si bien la operación es sofisticada, las capacidades técnicas del ransomware son relativamente bajas, encontró Check Point. Sin embargo, su código tiene similitudes notables con el ransomware Hermes, un malware comúnmente atribuido al Grupo Lazarus. Hermes obtuvo publicidad por primera vez en octubre de 2017 cuando se utilizó como parte de un sofisticado ataque SWIFT contra el Far Eastern International Bank (FEIB) en Taiwán.
Las similitudes entre los códigos incluyen el hecho de que la lógica de cifrado de Ryuk se parece a la que se encuentra en el ransomware Hermes, dijeron los investigadores.
"De hecho, si comparamos la función que encripta un solo archivo, vemos mucha similitud en su estructura", según Check Point. "De hecho, parece que el autor de Ryuk ni siquiera se molestó en cambiar el marcador en los archivos cifrados ya que el código utilizado para generar, colocar y verificar este marcador para determinar si un archivo ya estaba encriptado es idéntico en ambos malwares "
Además, la firma notó que ambas incluyen carpetas similares en la lista blanca (por ejemplo, "Ahnlab", "Microsoft", "Chrome", "Mozilla", "$ Recycle.Bin", etc.); ambos escriben un script por lotes llamado "window.bat" en la misma ruta; y en ambos casos, hay archivos caídos en el disco ("PUBLIC" y "UNIQUE_ID_DO_NOT_REMOVE") que son similares en nombre y propósito.
"Esto nos lleva a pensar que la ola actual de ataques dirigidos a Ryuk puede ser obra de los operadores de Hermes, del supuesto grupo norcoreano o del trabajo de un actor que obtuvo el código fuente de Hermes", señalaron los investigadores.
Además, con respecto a los archivos incluidos en la lista blanca, el ransomware realiza un barrido recursivo estándar de cada unidad y recurso compartido de red en el sistema de la víctima, y encripta todos los archivos y directorios, excepto los que contienen texto de la lista blanca codificada.
"Está claro por qué los atacantes querrían que el navegador web de la víctima permanezca intacto dado que puede ser necesario para leer la nota de rescate, comprar criptomonedas, etc.", señalaron los investigadores. "Pero no está tan claro por qué a los atacantes les preocupa encriptar la copia de la víctima de un producto de protección de punto final de Corea del Sur, especialmente dado que este ataque ni siquiera estaba dirigido a usuarios de Corea del Sur".
Sin embargo, sí tiene sentido si el ransomware Hermes se reutiliza y renombra como ransomware "Ryuk".
Además, cuando se trata del modelo de confianza, el Hermes original en realidad generó los pares de claves RSA de nivel dos por víctima, en lugar de incrustar copias codificadas en las muestras de malware; sin embargo, "la función de encriptación en sí misma, incluido el formato de archivo encriptado y su archivo de magia único asociado 'Hermes', se reproducen al por mayor en la versión renombrada".
En última instancia, tanto la naturaleza del ataque como el propio funcionamiento interno del malware vinculan a Ryuk con el ransomware de Hermes.
"Esto despierta curiosidad con respecto a la identidad del grupo detrás de él y su conexión con el Grupo Lazarus", concluyeron los investigadores. "Creemos que este no es el final de esta campaña y que es probable que otras organizaciones sean víctimas de Ryuk".
Fuente: https://threatpost.com/