Alfredo José Feijóo González in Ingenieros y Técnicos, Ingenieros, Informática y Tecnología Seguridad Informatica, Análisis y Gestion de Riesgos 8/11/2019 · 3 min read · 8.1K

Así es Ryuk, el ransomware que esta bloqueando ordenadores.

Así es Ryuk, el ransomware que esta bloqueando ordenadores.

Un ransomware (del inglés ransom, «rescate», y ware, acortamiento de software) o "secuestro de datos" en cristiano, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate. Se han propuesto algunas alternativas en español al término en inglés, como programa de secuestro, secuestrador, programa de chantaje o chantajista.

Aunque los ataques se han hecho populares desde mediados de la década del 2010, el primer ataque conocido fue realizado a finales de los 80 por el Dr. Joseph Popp. Su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló en 2013 que solamente en el primer trimestre había detectado más de 250 000 tipos de ransomware únicos.

• Ryuk está especializado en atacar entornos empresariales.

• La Ser, Everis y otras empresas se habrían visto afectadas.

• Los atacantes esperan grandes ingresos.

Desde la pasada madrugada, Europa está sufriendo un ciberataque basado en ransomware, un tipo de malware especializado en "secuestrar" nuestros archivos.

Este caso es más llamativo de lo habitual por su rápida expansión y la cantidad de grandes empresas a las que afecta. Todo indica que se trata de un ataque bien planeado, y que no es coincidencia que tantas empresas hayan caído al mismo tiempo.

La lista completa aún no se conoce en el momento de escribir estas palabras, pero ya se ha confirmado que la cadena Ser y Everis se han visto afectadas. No serían las únicas, y las redes sociales se han llenado de rumores sobre las posibles afectadas.

Estas empresas han tenido que apagar todos los ordenadores y desconectar sus redes de Internet. Pasos necesarios para evitar que el ransomware se extienda y produzca más daños, pero que pueden ser muy costosos y afectar al servicio. Pero, ¿qué es lo que ha conseguido parar en seco a tantas empresas?

Ryuk, especializado contra empresas

Gracias a algunas capturas de pantalla publicadas en redes sociales, todo indica que se trata de un ransomware, concretamente, de uno relativamente nuevo llamado Ryuk.

Un ransomware es un programa malicioso que, una vez instalado en el ordenador, cifra nuestros archivos con una clave secreta. A continuación, muestra un mensaje en pantalla, en el que indica a la víctima que ingrese una cierta cantidad de dinero para recuperar sus archivos.

Ryuk es un ransomware que apareció en la red por primera vez en agosto de 2018; pero sólo ha sido en los últimos meses que realmente se ha expandido. La gran diferencia de Ryuk frente a otros ransomware es que está especializado en atacar entornos empresariales.

Por lo tanto, si algún usuario convencional acaba con Ryuk instalado en su ordenador, no sería más que una víctima colateral; el verdadero objetivo de sus creadores es ganar ingentes cantidades de dinero atacando directamente a las empresas.

Un golpe millonario

La cantidad exacta parece variar dependiendo de la empresa atacada. El mensaje que Ryuk muestra en pantalla cuando se activa en el ordenador objetivo no dice cuánto hay que pagar por la clave; esto es relativamente raro, ya que los atacantes normalmente quieren tratar con la víctima lo menos posible.

Es lo que ocurrió con el caso de ransomware más famoso de la historia, WannaCry. Este programa bloqueó cientos de miles de ordenadores sólo en mayo de 2017, cuando fue lanzado. Se calcula que los creadores de WannaCry recibían unos 360.000 dólares mensuales de esta manera.

En el caso de Ryuk, el mensaje no muestra sólo una dirección de cartera de Bitcoin para realizar el pago. Además, se presentan dos direcciones de correo electrónico para que la víctima contacte directamente con los atacantes, además de una clave de referencia.

Supuestamente, el proceso consistiría en realizar el pago y contactar con los atacantes por correo con la clave; estos comprobarían si hemos realizado el pago y responderían con la contraseña para descifrar los datos. Puede que los atacantes hayan decidido usar este proceso debido a la magnitud de las cifras que piden.

Métodos de propagación

Normalmente un ransomware se transmite como un troyano o como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de software. En este punto, el ransomware se iniciará, cifrará los archivos del usuario con una determinada clave, que solo el creador del ransomware conoce, e instará al usuario a que la reclame a cambio de un pago.

¿Cómo actúa?

El atacante camufla el código malicioso dentro de otro archivo o programa apetecible para el usuario que invite a hacer clic. Algunos ejemplos de estos camuflajes serían:

  • Archivos adjuntos en correos electrónicos.

  • Vídeos de páginas de dudoso origen.

  • Actualizaciones de sistemas.

  • Programas, en principio, fiables como Windows o Adobe Flash.

Luego, una vez que ha penetrado en el ordenador, el ransomware se activa y provoca el bloqueo de todo el sistema operativo, lanza el mensaje de advertencia con la amenaza y el importe del rescate que se ha de pagar para recuperar toda la información. Además, en ocasiones incluyen en la amenaza la dirección IP, la compañía proveedora de Internet y hasta una fotografía captada desde la cámara web.

¿Cómo puede infectarse?

El ransomware puede infectar su ordenador de varias formas. Uno de los métodos más habituales actualmente es a través de spam malicioso, o malspam, que son mensajes no solicitados que se utilizan para enviar malware por correo electrónico. El mensaje de correo electrónico puede incluir archivos adjuntos trampa, como PDF o documentos de Word. También puede contener enlaces a sitios web maliciosos.

El malspam usa ingeniería social para engañar a la gente con el fin de que abra archivos adjuntos o haga clic en vínculos que parecen legítimos, aparentando que proceden de una institución de confianza o de un amigo. Los ciberdelincuentes emplean la ingeniería social en otros tipos de ataques de ransomware, por ejemplo presentarse como el FBI para asustar a los usuarios y obligarles a pagar una suma de dinero por desbloquear los archivos.

Otro método de infección habitual, que alcanzó su pico en 2016, es la publicidad maliciosa. La publicidad maliciosa consiste en el uso de publicidad en línea para distribuir malware con poca interacción por parte del usuario o incluso ninguna. Mientras navegan por la web, incluso por sitios legítimos, los usuarios pueden ser conducidos a servidores delictivos sin necesidad de hacer clic en un anuncio. Estos servidores clasifican los detalles de los ordenadores de las víctimas y sus ubicaciones y, a continuación, seleccionan el malware más adecuado para enviarlo. Frecuentemente, ese malware es ransomware.