Doctor Ryuk

Doctor Ryuk

Tiempo de lectura estimado: 9 minutos


Esta conferencia magistral pertenece a la sección 5 del Módulo 0 de C1b3rWall Academy 2021, "Ciberseguridad". En ella se expone un caso en el que dos organizaciones colaboraron para atacar un hospital pidiendo un rescate de 37 bitcoins (1 millón 700 mil euros), haciendo alusión a las diferentes notas de rescate y herramientas de trazabilidad de criptomonedas que podemos encontrar.

Cryptojacking

El cryptojacking es el uso no autorizado de la potencia informática de alguien para extraer criptomonedas, sin el conocimiento o consentimiento del propietario del dispositivo.

La web se ha convertido en un espacio traicionero en los últimos años. Los sitios web gubernamentales y los sitios web corporativos han fortalecido su seguridad para hacer frente a los crecientes casos de ataques. Estos ataques de nueva generación son más sigilosos y más fuertes de lo que solían ser, y este malware se dirige a las víctimas de cryptojacking y puede aparecer en cualquier lugar. El cryptojacking implica el proceso de infectar sistemas operativos con códigos maliciosos que utilizan la CPU del usuario desprevenido para extraer criptomonedas.

Un cryptojacker encontrará una manera de instalar malware en el ordenador o teléfono de un usuario, usando la potencia de procesamiento del dispositivo y ejecutando un programa de minería o script en segundo plano, recolectando en secreto recompensas de minería de monedas virtuales.

Debido a que las criptomonedas como Bitcoin y Litecoin son pseudónimas por naturaleza —lo que significa que no son completamente anónimas y pueden rastrearse en la cadena de bloques—, la mayoría de los malos actores prefieren extraer monedas basadas en la privacidad como Monero, que es muy difícil de rastrear y fácil de convertir en bitcoin.

Billeteras virtuales falsas

Una de las formas a través de las que los ciberdelincuentes suelen apoderarse de las criptomonedas de usuarios o sus cuentas es a través del robo de identidad (phishing), debido a que en la cadena de bloques no se pueden deshacer una vez hecha la transacción.

El uso de las billeteras virtuales utilizando las mismas contraseñas de Facebook, Gmail, Outlook, iCloud, etc. donde los usuarios suelen usar las mismas claves de accesos para todo, hace más interesante y propenso a ataques este mundo de las criptomonedas por parte de los ciberdelincuentes.

Código malicioso

La mayoría de los códigos de criptominería maliciosos trataban de descargar y ejecutar un programa de minado en los dispositivos. Sin embargo, una nueva forma de malware de criptominería se ha hecho muy popular recientemente: mina a través del navegador con un simple JavaScript. Este método provoca la misma actividad maliciosa sin necesidad de instalar ningún software.

El criptominado y el cryptojacking provocan una actividad de procesador extremadamente alta que tiene efectos secundarios notables. En los dispositivos Android, la carga del dispositivo puede incluso provocar un "hinchazón" de la batería, y, por lo tanto, un daño físico del dispositivo que puede ocasionar desperfectos en el mismo.

 Ransomware

Eddy Willems es la persona que ostenta el título de ser una de las primeras víctimas de ransomware de la historia. En 1989, cuando se produjo el primer incidente de este estilo, el criminal que le intentó atacar le pedía que enviase 189 dólares.

Recibió uno de los 20.000 disquetes que se enviaron a miles de asistentes a un congreso sobre el VIH organizado por la Organización Mundial de la Salud en Estocolmo. Le pidieron que comprobase qué había dentro del dispositivo. Cuando lo abrió con el ordenador, este se quedó cargando.

2020 fue un año difícil en términos de ciberataques con ransomware para empresas y administraciones del país. Se vieron afectados incluso hospitales, a pocas semanas de que estallara la crisis sanitaria provocada por la pandemia. Aunque los costes mínimos reflejados para las empresas españolas se sitúan en los 125 millones de euros, el auténtico valor estimado de las pérdidas que provocaron estos incidentes supera los 500 millones de euros.

Los ataques con ransomware continúan impactando con fuerza sobre el país en 2021. Se han visto afectadas grandes empresas e instituciones como Glovo o The Phone House, SEPE, UCM, Ministerio de Justicia...

¿Cómo funciona Ryuk?

A partir de un enlace enviado por mail se desencandena todo el proceso. Las organizaciones criminales se conectan a través de VPN y empiezan a hacer un movimiento lateral a través de herramientas para deshabilitar el antivirus y activar el ejecutable que encripta la información

Los criminales de Ryuk envían la mayoría de sus bitcoins a exchanges a través de un intermediario para así poder retirarlos. Se estima que el valor de la organización criminal detrás de Ryuk podría ascender a unos 150 millones de dólares.

El Doctor Ryuk

Se trata de un caso que se ha tratado hace poco en Deloitte. Un gran hospital español llama porque sus documentos están cifrados e incluso algunos equipos están inaccesibles. Se preguntaban si debían pagar el rescate, y la respuesta es que nunca se debe pagar. De hecho, en España, pagar un rescate de un ransomware está considerado delito. Se incluye este mensaje:

Adicionalmente, había acceso a una dirección que incluía un formulario. En un análisis más profundo, se identificó un dominio sospechoso y se descubre un cobalt strike. Tras varios días, se consiguió sacar toda la información y ficheros de los atacantes y trazar un mapa de lo ocurrido:

Para saber quién está detrás, se utilizan herramientas de trazabilidad para detectar rastros. Es muy difícil identificar y atribuir, pero no imposible.

Herramientas de trazabilidad de criptomonedas

Herramientas comerciales:

  • CipherTrace
  • Elementus
  • Chainanalysis

Herramientas gratuitas:

  • Bitcoinwhoiswho / Bitcoinabuse
  • Walletexplorer
  • Bitinfocharts

Ponente: Carlos Morales Diego

Carlos es graduado en Informática de Sistemas por la Universidad de Salamanca. A lo largo de su carrera profesional ha desarrollado proyectos de diversa índole a nivel de desarrollo de software y de Auditorías Informáticas para el Hospital Clínico de Salamanca, BBVA, Viewnext, Global Exchange y Universidad de Salamanca y otros clientes desde el año 2009. Lleva trabajando en Deloitte desde octubre de 2017, donde realiza tareas de análisis forense informático, y respuesta ante incidentes. Está tomando parte de desarrollos y peritajes informáticos para diversos clientes potenciales de la firma. Es miembro del Equipo Core de Alastria, Red Permisionada Blockchain Española, donde Deloitte es socio. También desarrolla su labor profesional como profesor en el Máster de Ciberseguridad de Deloitte en IMF Business School, Universidad de Cádiz y Salamanca.

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/