El pasado fin de semana, Tribune Publishing Co, empresa que produce los principales periódicos de Estados Unidos, fue víctima de una infección por ransomware de la familia Ryuk que paralizó la impresión y las entregas de varios periódicos importantes del país. Entre los periódicos afectados se encuentran Los Angeles Times, The New York Times y The Wall Street Journal.
El malware Ryuk (cuyo nombre viene de un personaje del manga Death Note) está asociado al Grupo Lazarus y se suele distribuir mediante ataques APT, a diferencia de la gran mayoría de este tipo de ataques. Los atacantes detrás de Ryuk han adoptado un enfoque mucho más específico que gira en torno a la selección cuidadosa de sus víctimas y el despliegue del ransomware de manera más estratégica.
Si bien Tribune ha declinado ofrecer detalles técnicos sobre el ataque, según algunas fuentes, se sabe que el modus operandi es el mismo utilizado en otros ataques con este mismo ransomware - en donde la primera infección llega mediante el envió de correos electrónicos de phishing con documentos de Word que incluyen al troyano polimórfico EMOTET
El propósito principal de Emotet es obtener un punto de apoyo inicial en las computadoras para que pueda recuperar e implementar cargas útiles adicionales. Una de las cargas útiles más comunes que Emotet ha recuperado en 2018 ha sido TrickBot. La combinación de Emotet, que es notoria por su capacidad de ganar persistencia, y TrickBot, que puede auto propagarse y propagarse rápidamente a través de las redes de víctimas, ha sido una pesadilla para los administradores.
Luego de las infecciones iniciales de Emotet y TrickBot estuvieran cosechando en silencio las credenciales y otra información valiosa, durante la víspera de navidad se lanza el ransomware Ryuk, (tal como lo muestra la imagen arriba) ya sea para cubrir las pistas de los atacantes y los datos robados y/o a su vez obtener beneficios extra.
Fuente: @InfoSpyware
