Se estima que el grupo responsable del ransomware Ryuk puede haber obtenido cerca de 700 BTC, más de dos millones de euros.

Este ransomware empezó a detectarse a finales del verano de 2018, siendo utilizado principalmente en campañas dirigidas hacia empresas. No muestra capacidades técnicas sofisticadas ni ha sido detectado en campañas masivas de spam. De modo que requiere de una distribución manual por parte de los atacantes debido a que su esquema de cifrado está diseñado para operaciones a pequeña escala, por lo que es necesario un extenso mapeo de las redes y una recolección de credenciales dedicada previas a la infección. Esta estrategia de ataque hacia unos pocos objetivos concretos dificulta el rastreo de la actividad económica del atacante, pero la selección de empresas con gran capacidad de pago ha permitido a los atacantes atesorar ya más del equivalente a dos millones de euros en bitcoins.

Las similitudes de código entre Ryuk y Hermes hacen sospechar que este nuevo ransomware puede es un derivado del código fuente de Hermes, y por tanto, podría ser una creación del grupo norcoreano Lazarus. Aunque también se sospecha que el grupo Grim Spider podría estar detrás de Ryuk, dado que algunos ataques realizados con este rasomware han sido realizados en asociación con TrickBot. Tanto Ryuk como Hermes seleccionan los archivos a cifrar de forma similar y son capaces de: cifrar usando RSA-2048 y AES-256, almacenar las claves en un ejecutable usando el formato propietario de Microsoft SIMPLEBLOB, cifrar los dispositivos montados y los servidores remotos, y usan el mismo marcador de archivos para verificar qué archivos están ya cifrados.

LEER MAS: https://unaaldia.hispasec.com/2019/01/el-ransomware-ryuk.html