Ryuk, el ransomware de moda SEPE

Ryuk, el ransomware de moda SEPE

 In general
0

Jesús Amorós CCR (curiosidades, consideraciones y recomendaciones)

Hola a todos, recientemente ccn-cert ha publicado el último informe sobre el ramsomware Ryuk, muy posiblemente es el ramsomware que ha afectado al SEPE, a muchas empresas y organizaciones antes.

Destacar que es una evolución de un ramsomware más antiguo con nuevas capacidades de descubrimiento de equipos vecinos y con un modus operandi modificado respecto de su origen.

En este ocasión el software ha sido modificado para encriptar con una clave distinta a cada objetivo (organización) lo que complica el caso ya que si una organización afectada consigue la clave o como desencriptar los datos no servirá para el resto de organizaciones.

Todos en mayor o menor medida hemos visto la noticia del SEPE, sin entrar en opinar, espero que lo recuperen cuanto antes y seguro que saldran muchas lecciones aprendidas, que eso es lo que de verdad es importante aprender de los incidentes.

Os dejo un resumen del informe publicado por el ccn-cert

  • Curiosidad: No cifra el directorio  de C:/ Windows como muchos otros ramsomware.
  • Curiosidad: No cifra archivos con nombre xxxChromeyyy.txt xxxMozillayyy.txt.
  • Curiosidad: No afecta a usuarios localizados en Rusia, Ucrania o Bielorrusia
  • Puede Cifrar tu ordenador, las unidades remotas, los equipos de tu red y todas las redes vecinas si los equipos son vulnerables.
  • Ryuk se copia al directorio C:/Users/Public de otras máquinas vulnerables para iniciar su expansión.
  • Especial atención a las tareas de windows ya que Ryuk crea tareas schtasks.exe.
  • Genera tráfico RPC (135/TCP) para comunicarse con Task Scheduler.
  • Recomendación: No tener habilitado Wake-on-Lan.
  • Recomendación: Tener segmentación de red y un firewall encargado de inspeccionar el tráfico podría reducir el ataque.
  • Recomendación: Desactiva SMB si no lo usas.
  • Recomendación: Actualiza o instala antivirus (No son infalibles pero ayudan a detectar anomalías o archivos maliciosos).
  • Recomendación: Un Firewall de última generación puede ayudarte a detectarlo o mitigarlo.
  • Recomendación: Una red segmentada puede acotar o reducir drásticamente su impacto, esto debería ser combinado con un firewall.
  • Recomendación: Mantén tus sistemas actualizados.
  • Recomendación: Haz auditorías a tus sistemas.

 

By Jesusamoros

Fuente: ccn-cert ccn-cert

Recent Posts

Dejar un comentario

Automatizando la Respuesta a Incidentesgeneral
Señales que muestran una mala arquitectura de TI y algunos consejosgeneral