Desde la pasada madrugada, Europa está sufriendo un ciberataque basado en ransomware, un tipo de malware especializado en "secuestrar" nuestros archivos.

Este caso es más llamativo de lo habitual por su rápida expansión y la cantidad de grandes empresas a las que afecta. Todo indica que se trata de un ataque bien planeado, y que no es coincidencia que tantas empresas hayan caído al mismo tiempo.

La lista completa aún no se conoce en el momento de escribir estas palabras, pero ya se ha confirmado que la cadena Ser y Everis se han visto afectadas. No serían las únicas, y las redes sociales se han llenado de rumores sobre las posibles afectadas.

Estas empresas han tenido que apagar todos los ordenadores y desconectar sus redes de Internet. Pasos necesarios para evitar que el ransomware se extienda y produzca más daños, pero que pueden ser muy costosos y afectar al servicio. Pero, ¿qué es lo que ha conseguido parar en seco a tantas empresas?

Ryuk, especializado contra empresas

Gracias a algunas capturas de pantalla publicadas en redes sociales, todo indica que se trata de un ransomware, concretamente, de uno relativamente nuevo llamado Ryuk.

Un ransomware es un programa malicioso que, una vez instalado en el ordenador, cifra nuestros archivos con una clave secreta. A continuación, muestra un mensaje en pantalla, en el que indica a la víctima que ingrese una cierta cantidad de dinero para recuperar sus archivos.

Ryuk es un ransomware que apareció en la red por primera vez en agosto de 2018; pero sólo ha sido en los últimos meses que realmente se ha expandido. La gran diferencia de Ryuk frente a otros ransomware es que está especializado en atacar entornos empresariales.

Por lo tanto, si algún usuario convencional acaba con Ryuk instalado en su ordenador, no sería más que una víctima colateral; el verdadero objetivo de sus creadores es ganar ingentes cantidades de dinero atacando directamente a las empresas.

Un golpe millonario

La cantidad exacta parece variar dependiendo de la empresa atacada. El mensaje que Ryuk muestra en pantalla cuando se activa en el ordenador objetivo no dice cuánto hay que pagar por la clave; esto es relativamente raro, ya que los atacantes normalmente quieren tratar con la víctima lo menos posible.

Es lo que ocurrió con el caso de ransomware más famoso de la historia, WannaCry. Este programa bloqueó cientos de miles de ordenadores sólo en mayo de 2017, cuando fue lanzado. Se calcula que los creadores de WannaCry recibían unos 360.000 dólares mensuales de esta manera.

CrowdStrike

En el caso de Ryuk, el mensaje no muestra sólo una dirección de cartera de Bitcoin para realizar el pago. Además, se presentan dos direcciones de correo electrónico para que la víctima contacte directamente con los atacantes, además de una clave de referencia.

La cantidad de Bitcoin a pagar varía enormemente, dependiendo del caso. Hasta ahora, la menor demanda ha sido de 1.7 BTC (14.000 €), y la mayor, de 99 BTC, unos 820.000 €. Estamos hablando de ataques a grandes empresas, que en teoría podrían costearse semejantes rescates.

Supuestamente, el proceso consistiría en realizar el pago y contactar con los atacantes por correo con la clave; estos comprobarían si hemos realizado el pago y responderían con la contraseña para descifrar los datos. Puede que los atacantes hayan decidido usar este proceso debido a la magnitud de las cifras que piden.

Cómo funciona Ryuk

Las sospechas de que estamos ante un ataque basado en Ryuk se basan en dos aspectos. Para empezar, el mensaje que aparece en el ordenador es similar al que suele mostrar este ransomware; sin embargo, hay que recordar que las únicas fotografías que tenemos de este ataque provienen de supuestos empleados de las empresas afectadas.

El otro detalle, más importante, es que Ryuk recibió una nueva versión hace apenas tres días. La gran novedad es que ahora Ryuk es capaz de distribuirse a si mismo por una red LAN privada, incluso si los ordenadores están apagados; lo consigue enviando paquetes WoL (Wake-on-LAN), que permiten "despertar" a un ordenador si recibe una órden a través de la red. Hasta ahora, Ryuk dependía de otros métodos para llegar a más ordenadores, como troyanos.

Esto explicaría cómo es posible que Ryuk haya infectado tantos ordenadores tan rápidamente, especialmente los que pertenecen a una misma red.

CrowdStrike

Un ataque centrado en España

Se sospecha que Ryuk fue creado por Grim Spider, un grupo de hackers especializados en atacar grandes objetivos para ganar grandes sumas de dinero. Forma parte de Wizard Spider, un grupo de cibercriminales que hasta el año pasado se centraban en el fraude electrónico. Para ello usaban TrikBot, un troyano, que era el que ayudaba a Ryuk a entrar en los ordenadores.

Sin embargo, aún se desconoce si Grim Spider está detrás de este ataque masivo, pero encajaría con su modus operandi. 

Este ataque con Ryuk se habría realizado pese a las limitaciones propias del programa; según ha explicado Breet Callow de Emsisoft a Omicrono, Ryuk tiene algunos fallos de programación, o "bugs", que pueden hacer que no funcione correctamente. Emsisoft, como empresa de seguridad que forma parte del proyecto No More Ransom de la Europol, sabe muy bien los riesgos que conllevan estos bugs.

Y es que esto puede jugar a favor o en contra del usuario. Por ejemplo, gracias a estos bugs es posible descifrar los archivos incluso aunque no tengamos la clave. Sin embargo, esto es sólo posible en algunos casos.

Más catastrófico es que ocurra otro bug, que destruye los archivos cifrados. En concreto, se calcula que uno de cada ocho archivos cifrados por Ryuk no son recuperables.

Que el ataque tiene como objetivo empresas españolas es evidente cuando vemos que Ryuk ya fue usado a lo largo del último año en otros países; especialmente en EEUU, donde afectó a decenas de ayuntamientos, colegios y hospitales.