Los ciberataques son cada vez más sofisticados y peligrosos, con graves consecuencias para empresas y gobiernos. Una de las formas de ataque más extendidas y temidas es el ransomware, un software malicioso que bloquea los archivos de un usuario u organización y exige un rescate para desbloquearlos.
Entre los diversos tipos de ransomware, Ryuk estuvo en boca de todos hasta finales de 2020.
Aquí analizamos las características de este ransomware especialmente temible, que ahora parece estar relativamente inactivo, y te damos algunos consejos sobre cómo reaccionar.
Historia y orígenes del ransomware Ryuk
El ransomware Ryuk fue descubierto por primera vez en agosto de 2018, y rápidamente se convirtió en noticia debido a su capacidad para infectar a importantes organizaciones de diversos sectores económicos. Ryuk ha sido atribuido a un grupo de hackers rusos WIZARD SPIDER.
Variante del antiguo ransomware Hermes, Ryuk encabeza la lista de los ataques de ransomware más peligrosos. En el informe CrowdStrike 2020 Global Threat Report, Ryuk es responsable de tres de las 10 mayores peticiones de rescate del año: 5,3 millones de dólares, 9,9 millones de dólares y 12,5 millones de dólares. Ryuk ha atacado con éxito industrias y empresas de todo el mundo. Los hackers se refieren a la práctica de atacar a grandes corporaciones como «caza mayor» (BGH).
Curiosamente, esta familia de ransomware tiene un nombre japonés derivado del anime Death Note. Su nombre significa «regalo de Dios», una elección extraña para un ransomware, dado que los objetivos pierden datos o dinero. Pero desde el punto de vista del hacker, puede considerarse un regalo de Dios.
Ryuk, WannaCry, NotPetya: pioneros notables en el auge del ransomware
Aunque Ryuk no fue el primer ransomware en causar estragos, se distinguió de otros ransomwares como WannaCry y NotPetya.
En lugar de dirigirse a particulares y pequeñas empresas, Ryuk está (¿estaba?) diseñado para atacar a organizaciones con importantes recursos financieros e infraestructuras informáticas vitales.
Los hackers también parecen estar seleccionando cuidadosamente sus objetivos, lo que puede mitigar la propagación del ransomware al tiempo que maximiza el impacto en las víctimas elegidas.
¿Cómo funciona Ryuk?
Este ransomware no se implanta inmediatamente, sino que comienza instalando primero otro software malicioso en un sistema informático. Esto suele suceder tras un ataque de phishing, que facilita la infección primaria.
Ryuk está reconocido como uno de los ejemplos más notorios de ransomware como servicio (RaaS), en términos del alcance de la infección. El concepto de RaaS es un modelo en el que los creadores de ransomware lo ponen a disposición de otros ciberdelincuentes. A cambio, el creador recibe una parte del rescate pagado. Este enfoque es una variante del modelo de software como servicio (SaaS).
Consecuencias de los ataques de Ryuk
El principal objetivo de Ryuk sigue siendo simple: extorsionar tanto dinero como sea posible. Las víctimas suelen enfrentarse a la petición de un rescate para recuperar sus datos cifrados y desbloquear sus sistemas.
La cantidad exigida varía, pero puede alcanzar fácilmente sumas récord…
Ryuk comprometió a gobiernos, universidades, instituciones sanitarias, empresas manufactureras y organizaciones tecnológicas hasta finales de 2020 antes de pasar muy desapercibido y, ¿quizás reinventarse como ransomware Conti? El hecho es que en 2019, Ryuk tuvo la mayor demanda de rescate, con 12,5 millones de dólares, y es probable que haya recaudado un total de 150 millones de dólares a finales de 2020.
Sea cual sea la cepa del ransomware, pagar el rescate suele plantear un dilema moral a las empresas, especialmente cuando las sumas en juego son considerables, como es el caso de ransomware como Ruyk.
Por un lado, no quieren fomentar la financiación de organizaciones criminales pagando. Por otro, tienen que tener en cuenta los costes y pérdidas causados por la inaccesibilidad de los sistemas informáticos y la paralización de las operaciones.
Además de las pérdidas económicas, las víctimas de este tipo de ransomware también pueden sufrir daños en su reputación, pérdida de confianza de clientes y socios, y posibles complicaciones legales relacionadas con la violación de datos.
Si se enfrenta a una situación de este tipo, le recomendamos que se ponga en contacto con nosotros rápidamente. También puede consultar nuestra guía sobre los primeros pasos a tener en cuenta en caso de incidente.
