Ransomware Ryuk
¿Qué es Ransomware Ryuk?
Ransomware RyukFamilia de ransomware dirigido operada por WIZARD SPIDER desde 2018, que extrajo grandes rescates de empresas, hospitales y administraciones locales mediante intrusiones con TrickBot.
Ryuk es una familia de ransomware vista por primera vez en agosto de 2018, derivada del codigo anterior Hermes y operada por el cluster criminal WIZARD SPIDER. A diferencia del ransomware genérico, Ryuk se desplegaba en intrusiones manuales dirigidas, normalmente tras infecciones de Emotet y TrickBot que daban acceso al dominio completo. Los operadores usaban Mimikatz, BloodHound, Cobalt Strike y SSH para moverse antes de cifrar servidores y puestos. Las demandas de rescate alcanzaban a menudo millones de dolares en Bitcoin. Entre las victimas destacan Universal Health Services, varios hospitales estadounidenses en 2020 y la ciudad de Nueva Orleans. Hacia 2021, gran parte de la operacion Ryuk migro a la marca Conti, que heredo herramientas y personal.
● Ejemplos
- 01
Una red hospitalaria queda cifrada por Ryuk tras una infeccion de TrickBot que concede acceso de Domain Admin desde un solo puesto comprometido.
- 02
Los defensores aplican segmentacion de red y copias offline informados por los informes de incidentes Ryuk y TrickBot.
● Preguntas frecuentes
¿Qué es Ransomware Ryuk?
Familia de ransomware dirigido operada por WIZARD SPIDER desde 2018, que extrajo grandes rescates de empresas, hospitales y administraciones locales mediante intrusiones con TrickBot. Pertenece a la categoría de Malware en ciberseguridad.
¿Qué significa Ransomware Ryuk?
Familia de ransomware dirigido operada por WIZARD SPIDER desde 2018, que extrajo grandes rescates de empresas, hospitales y administraciones locales mediante intrusiones con TrickBot.
¿Cómo funciona Ransomware Ryuk?
Ryuk es una familia de ransomware vista por primera vez en agosto de 2018, derivada del codigo anterior Hermes y operada por el cluster criminal WIZARD SPIDER. A diferencia del ransomware genérico, Ryuk se desplegaba en intrusiones manuales dirigidas, normalmente tras infecciones de Emotet y TrickBot que daban acceso al dominio completo. Los operadores usaban Mimikatz, BloodHound, Cobalt Strike y SSH para moverse antes de cifrar servidores y puestos. Las demandas de rescate alcanzaban a menudo millones de dolares en Bitcoin. Entre las victimas destacan Universal Health Services, varios hospitales estadounidenses en 2020 y la ciudad de Nueva Orleans. Hacia 2021, gran parte de la operacion Ryuk migro a la marca Conti, que heredo herramientas y personal.
¿Cómo defenderse de Ransomware Ryuk?
Las defensas contra Ransomware Ryuk combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ransomware Ryuk?
Nombres alternativos comunes: Ryuk de WIZARD SPIDER.
● Términos relacionados
- malware№ 900
Ransomware
Malware que cifra los datos de la víctima o bloquea sus sistemas y exige un pago a cambio de restaurar el acceso.
- malware№ 1171
TrickBot
Troyano bancario modular y framework de postexplotacion operado por WIZARD SPIDER, que allano el camino al ransomware Ryuk, Conti y Diavol.
- malware№ 377
Emotet
Troyano bancario modular convertido en loader malware-as-a-service que distribuia ransomware de afiliados y fue desmantelado por las fuerzas del orden internacionales en enero de 2021.
- defense-ops№ 193
Cobalt Strike
Plataforma comercial de simulacion adversaria ampliamente usada en operaciones de red team y frecuentemente abusada por atacantes para post-explotacion y mando y control.