CATEGORÍA ➝ REFUERZO DE SISTEMAS
Me ha entrado un ransomware ¿Y ahora qué?
Ryuk infecta a uno de nuestros clientes, te contamos qué pasó.
Un hacker ha conseguido encriptar el sistema informático de uno de nuestros clientes. Por suerte, el delincuente solo pedía 120.000 € de rescate. Más suerte aún, la empresa afectada no ha tenido que pagar nada.
La primera persona en encender el ordenador se ha encontrado con su pantalla de escritorio casi como la había dejado el viernes, salvo por un par de detalles: todos los documentos que contenía están ahora encriptados. “Albarán.pdf”, por ejemplo, ha pasado a llamarse “Albarán.pdf.RYK”. Todos los archivos tienen esta terminación menos uno, un acceso directo que dice: “RyukReadMe.html”. Uno a uno, los trabajadores de ACME (nombre ficticio) van llegando a la oficina para descubrir que ellos tampoco pueden trabajar. Es lunes por la mañana. Para entonces, el hacker que tiene a la empresa paralizada lleva semanas estudiando sus movimientos, analizando su estructura informática y robando credenciales. Primero, el virus se extiende por la red, infectando tantos puntos finales como puede. Una vez ha accedido a todos los archivos críticos, el domingo por la tarde lo ha encriptado todo.
Cómo ha podido pasar
Encontrar el detonante de la infección es difícil porque el primer ataque se borra a sí mismo después de haberse ejecutado. Seguramente Ryuk haya conseguido colarse a través de un malware llamado TrickBot, un programita que algún empleado habrá ejecutado sin darse cuenta.
Los expertos creen que los operadores de TrickBot usan grandes campañas de spam para infectar a decenas de miles de ordenadores, y luego seleccionan manualmente aquellos objetivos que pueden estar vinculaos a grandes empresas. En ellas, se despliega el ransomware Ryuk. Después del primer ataque y de borrar sus propias huellas, TrickBot intenta detener los procesos y servicios relacionados con antivirus, bases de datos y copias de seguridad.
El único archivo que funciona en ACME, “RyukReadMe.html”, es una página que se abre desde cualquier navegador sin necesidad de internet (la red entera ha caído y ahora la empresa esta incomunicada).
Balance of shadow universe
El contenido de la página se repite en cada ataque: un correo electrónico, siempre diferente, el nombre Ryuk en letras grandes y la prosaica frase balance of shadow universe, que se puede traducir como equilibrio del universo a la sombra.
Nadie sabe lo que significa esta frase, y yo no me paré a preguntárselo al hacker cuando contacté con él. Le escribí un correo desde una cuenta de Gmail diciendo: “he sido jaqueado”. Su respuesta fue igual de parca:
Si quieres desbloquear los archivos, debes pagar 15 bitcoines.
Para demostrar nuestras honestas intenciones, desbloquearemos dos archivos gratis.
Envíanos 2 archivos aleatorios y te los devolveremos descifrados.
Puedes elegir archivos de diferentes ordenadores, te garantizamos que una clave lo descifra todo.
El tamaño de los archivos no debe exceder los 5Mb.
Quedamos a la espera de los 15 bitcoines para acabar con el problema. Después te entregaremos el programa que descifrará todos tus archivos.
Es un simple ejecutable de Windows que podrás utilizar si tienes privilegios de administrador. El proceso de cura se compone de los siguientes pasos:
1) Apaga cualquier AV en funcionamiento.
2) Desconecta internet (ayuda a evitar cualquier error de descifrado; es por tu propia seguridad).
3) Inicia el .exe en cada estación de trabajo y servidor; espera a que aparezca la frase «operación completada» (lleva un tiempo dependiendo de la cantidad de datos en el sistema).
4) Verifica que todo está bien y vuelve a trabajar con normalidad.
El primer diagnóstico no era optimista. ACME tenía infectado todo el sistema alojado en las oficinas centrales: los ordenadores personales, las máquinas virtuales, los programas de gestión Dynamics NAV y Qlik, y las copias de seguridad. De hecho, atacar las copias es uno de los primeros objetivos al que apuntan estos criminales.
Se cree que la organización criminal detrás de Ryuk opera desde Rusia, y habría comprado una versión del ransomware Hermes (de origen norcoreano) en un foro de piratería para transformarlo a su criterio en lo que ahora se conoce como el ransomware Ryuk. El código de Ryuk está diseñado para operaciones a pequeña escala y para ser activado de forma manual.
El hacker encargado de ACME había programado que la operación se completase durante el fin de semana. Los últimos archivos se cifraron el domingo 12 a las 19:20 h. Finalmente, Ryuk destruyó su contraseña de cifrado y ejecutó un archivo .bat que eliminó las copias instantáneas y varios archivos históricos del disco.
Rescate desde dentro
Este golpe de suerte no fue una coincidencia: un sistema robusto de contingencia debe contener réplicas en remoto de las copias de seguridad. La operación consiste en replicar la misma máquina virtual, creando dos instantáneas de VM, independientes la una de la otra. Esto duplica la carga de trabajo en la infraestructura virtual, pero también crea un compartimento estanco a prueba de intrusos.
ACME podía haber evitado la entrada del ransomware con mayores precauciones, más protección y con una política de contraseñas mejor diseñada. Pero su sistema informático quedó secuestrado, y entonces solo contaba con dos alternativas: colaborar con los criminales y pagar el rescate o rescatarse a sí mismo con un plan de contingencia actualizado y confiable. La pesadilla con final feliz acabó con un mensaje a los secuestradores: “Para demostrar nuestras honestas intenciones, vamos a levantar el sistema informático nosotros mismos. Por favor no molesten más, estamos trabajando”.
