Dada la gravedad del ataque sufrido al SEPE y viendo la oleada de infecciones detectadas en empresas del ámbito privado estos últimos días. Desde IEAISA queremos informar a nuestros clientes de que refuercen sus sistemas de protección, ya que el número de ataques sofisticados de amenazas avanzadas está aumentando considerablemente y los viejos sistemas tradicionales de protección no están capacitados para hacer frente a estos ataques.

Cómo actúa Ransomware Ryuk

Siguiendo el modus operandi del resto de ransomware, al acabar el cifrado de los archivos de sus víctimas, Ryuk deja una nota de rescate que indica que, para recuperar los archivos, es necesario realizar un pago de bitcoins contactando con la dirección indicada.

En la muestra analizada por diferentes fabricantes, Ryuk llegó a los sistemas a través de una conexión en remoto lograda en un ataque RDP. El actor malicioso logró iniciar sesión de forma remota. Una vez que logró iniciar la sesión, creó un ejecutable con la muestra.

Ryuk, como otros malware, trata de quedarse en nuestro sistema el mayor tiempo posible. Uno de sus sistemas para lograrlo es crear ejecutables y lanzarlos en oculto. Para poder cifrar los archivos de la víctima, también requiere tener privilegios. Por lo general, Ryuk parte de un movimiento lateral o es lanzado por otro malware, como Emotet o Trickbot. Estos se encargan de escalar privilegios previamente para otorgarlos al ransomware.

Cómo protegerte de Ryuk

Ransomware Ryuk tiene una letanía de trucos para entrar, ganar persistencia y cifrar los archivos de sus víctimas. Como es el caso con todo el ransomware, si no cuentas con las protecciones adecuadas y no sigues las pautas apropiadas, esta amenaza puede ser difícil de contener.

IEAISA aborda este problema con una combinación de protección avanzada en el endpoint con capacidades de EDR, la monitorización de todos los endpoints en el sistema y su servicio de clasificación del 100% de los procesos. Se basa en un enfoque de confianza cero (Zero Trust): cualquier proceso o aplicación desconocido se bloquea hasta que sea analizado. De este modo es capaz de parar cualquier amenaza antes de que pueda ejecutarse, incluso los ataques más avanzados, como Ryuk.

Adicionalmente es imprescindible asegurar las conexiones de usuarios remotos a través de VPNs y aplicar políticas robustas de acceso.

Cómo podemos ayudarles desde IEAISA

En IEAISA disponemos de un departamento especializado en Ciberseguridad desde el que ofrecemos servicios de análisis y diagnóstico avanzados para diseñar conjuntamente con las empresas el sistema de seguridad ajustado a sus necesidades.

Para ello contamos con un equipo de ingenieros especializados y certificados por los fabricantes más importantes del sector y amplia experiencia en implantaciones y administración de sistemas de seguridad.