#Ryuk ransomware paraliza la producción de los principales periódicos de EEUU

ransomware
lazarus
apt
ryuk

#1

Ryuk ransomware involucrado en ciberataque para detener la distribución de periódicos

El pasado fin de semana, Tribune Publishing Co, empresa que produce los principales periódicos de Estados Unidos, fue víctima de una infección por ransomware de la familia Ryuk que paralizó la impresión y las entregas de varios periódicos importantes del país. Entre los periódicos afectados se encuentran Los Angeles Times, The New York Times y The Wall Street Journal.

El malware Ryuk (cuyo nombre viene de un personaje del manga Death Note) está asociado al Grupo Lazarus y se suele distribuir mediante ataques APT, a diferencia de la gran mayoría de este tipo de ataques. Los atacantes detrás de Ryuk han adoptado un enfoque mucho más específico que gira en torno a la selección cuidadosa de sus víctimas y el despliegue del ransomware de manera más estratégica.

Si bien Tribune ha declinado ofrecer detalles técnicos sobre el ataque, según algunas fuentes, se sabe que el modus operandi es el mismo utilizado en otros ataques con este mismo ransomware - en donde la primera infección llega mediante el envió de correos electrónicos de phishing con documentos de Word que incluyen al troyano polimórfico EMOTET

El propósito principal de Emotet es obtener un punto de apoyo inicial en las computadoras para que pueda recuperar e implementar cargas útiles adicionales. Una de las cargas útiles más comunes que Emotet ha recuperado en 2018 ha sido TrickBot. La combinación de Emotet, que es notoria por su capacidad de ganar persistencia, y TrickBot, que puede auto propagarse y propagarse rápidamente a través de las redes de víctimas, ha sido una pesadilla para los administradores.

Luego de las infecciones iniciales de Emotet y TrickBot estuvieran cosechando en silencio las credenciales y otra información valiosa, durante la víspera de navidad se lanza el ransomware Ryuk, (tal como lo muestra la imagen arriba) ya sea para cubrir las pistas de los atacantes y los datos robados y/o a su vez obtener beneficios extra.

Fuente: @InfoSpyware


#2

Si bien es poco probable que un usuario final termine infectado por el ransomware Ryuk, - ya que como bien se explica en la nota-, este es utilizado para ataques del tipo APT, osea ataques dirigidos a organizaciones puntualmente…

Es muy interesante los métodos que estos grupos como Lazarus utiliza - recordemos que estos fueron los mismos detrás de WannaCry - los cuales luego copian otros actores mas pequeños para realizar infecciones masivas.

Analizando una de las muestras utilizadas, esta tiene muy pocas diferencias internas referente a las primeras vistas desde el mes de agosto, aunque han ofuscado un poco mas su código, el resultado de cara al usuario es el mismo:

Salu2