Ransomware RYUK y Malware EMOTET

En días pasados se ha estado comentando en los medios sobre una amenaza de tipo Ransomware que ha afectado inicialmente empresas en Europa y actualmente ya se reportan casos en México. Hasta ahora no hemos recibido algún incidente de nuestros clientes.
Esta amenaza es conocida como RYUK y tiene las siguientes capacidades conocidas:

Comportamiento

  • Evita productos antimalware – Tiene la capacidad de terminar los procesos de productos antimalware.
  • Mantiene la persistencia en la máquina objetivo.
  • Se ejecuta como un proceso legítimo inyectado a los procesos de Windows.
  • Termina procesos.
  • Detiene Servicios.

Capacidades

  • Robo de información.
  • Cifrado de archivos.
  • Deshabilitar la capacidad de uso.

Rutina de infección RYUK

Uno de los componentes usados por RYUK para llegar a los sistemas es a través de otra amenaza conocida como EMOTET y TRICKBOT.

EMOTE como mecanismo de entrada del Ransomware RYUK
El principal mecanismo de EMOTET es el uso de correo electrónico con ligas incrustadas para la descarga de algún archivo de Office que puede contener macros.

Cadena de Infección de EMOTET

Maneras de protegerse contra este tipo de amenazas

  • Mantener actualizados los componentes de protección de correo electrónico como lo es el antispam.
  • Mantener actualizados las bases de filtrado y reputación de URL y hacer uso de las categorías relacionadas con Malware, C&C, Spyware y Botnets.
  • En las herramientas de análisis del malware tener habilitado Machine Learning y el análisis de comportamiento para poder detectar variantes desconocidas, independientemente de contar siempre con las firmas y motores de detección activos.
  • En el caso de los mecanismos de prevención de intrusos, existen reglas específicas para la amenaza EMOTET, por lo que su uso ampliamente recomendado.

Existen otras recomendaciones generales que son más bien mejores prácticas de seguridad como mantener protocolos como RDP y SMB cerrados, considerar deshabilitar el uso de macro en el caso de MS Office, no abrir correos sospechosos o de fuentes desconocidas, sospechar de correos que indiquen temas de facturación sobre todo si no se ha solicitado información de esta clase.

El respaldo de información es básico y no debería evitarse a pesar de que existan herramientas de seguridad que promueven el discurso que pueden recuperar la información cifrada. Esta amenaza de RYUK cuenta con mecanismos que deshabilitan los funciones del sistema para recuperar la información a partir de copias de volumen, por lo que en caso de verse afectados, podrían no tener manera de restaurar la información si no es a partir de un respaldo formal.

IOC – Algunos indicadores de compromiso que se pueden manejar para RYUK son los siguientes:

  • MD5
    5AC0F050F93F86E69026FAEA1FBB4450
    6CDCB9F86972EFC4CFCE4B06B6BE053A
  • SHA256
    8a87a1261603af4d976faa57e49ebdd8fd8317e9dd13bd36ff2599d1031f53ce
    037dbddeda76d7a1be68a2b3098feabfbf5400a53e2606f5a0e445deb2e42959
    IPs
    5[.]100.251.106
    109[.]176.117.11

Alianzas Tecnológicas

Regístrate para recibir nuestro boletín​ de noticias

© 2019 Ingeniería Aplicada Nova SA de CV