Un virus ransomware se ha infiltrado con éxito en más de 100 empresas gubernamentales y privadas en los EE.UU. e internacionalmente, se ha detectado en China, según un reciente informe de seguridad de Tencent.
Apodado Ryuk, el código pernicioso se dirige a “empresas de logística, empresas de tecnología y pequeños municipios” con alto valor de datos, exigiendo recompensas de más de $5 millones pagados en bitcoin, según la Oficina Federal de Investigaciones (FBI).
En junio los funcionarios de Lake City pagaron un rescate de $460,000 después de que los sistemas informáticos de la ciudad se oscurecieran.
Ryuk se cree que es una versión modificada del virus Hermes.Se propaga a través de los métodos habituales de botnet y spam, e infiltra a través de puertos IP indefensas.
Una vez instalado el malware elimina todos los archivos relacionados con la intrusión, mata los procesos antivirus, oscureciendo así el vector de infección.
“Después de que el atacante ha obtenido acceso a la red de víctimas, se pueden descargar herramientas de explotación de red adicionales Una vez ejecutado, Ryuk establece la persistencia en el registro, se inyecta en los procesos en ejecución, busca sistemas de archivos conectados a la red y comienza a cifrar archivos.”
El virus también deja un archivo “RyukReadMe” que abre la carta de chantaje en el navegador de Internet de la víctima. La página web html enumera sólo las dos direcciones de correo electrónico del hacker y la frase “equilibrio del universo de sombras”
El FBI ha estado rastreando el virus desde 2018 y han notado una serie de modificaciones. Se ha informado de que la variante china ejecuta simultáneamente un módulo de chantaje de 32 bits y 64 bits, lo que puede permitir una mayor evolución del error.
