En agosto publicamos un artículo sobre Ryuk y su relación con atacantes provenientes de Corea del Norte, es bien conocido que el Ransomware fue desarrollado con una estructura planificada, con la finalidad de cifrar los datos almacenados en cientos de computadores.
El ransomware inicia inhibiendo por varios segundos el sistema, para luego observar si se ejecutó con un argumento específico eliminando más de 40 procesos y más de 180 servicios asociados con el antivirus, base de datos, respaldos y software de edición de documentos.
Uno de los mayores problemas de Ryuk es que tiene la capacidad de eliminar múltiples archivos, junto con copias de seguridad, las cuales afectan las funciones del sistema, además de destruir claves cifradas pre-establecidas por el usuario.
Las recientes investigaciones de un experto, el cual publicó en Twitter un cambio en el ransomware Ryuk, esta nueva versión, el malware no cifra las carpetas que estén relacionadas con sistemas operativos Linux/UNIX (Sistema operativo de software libre, portable, multitarea y multiusuario). Cabe destacar que Ryuk es un ransomware diseñado para cifrar archivos en Windows y aún no existe una versión enfocada a afectar entornos Linux/Unix. Este nuevo cambio está dirigido a aislar las carpetas de Subsistemas de Windows para Linux (WSL - Windows Subsystem for Linux) sin encriptarlas, dichas carpetas son utilizadas para brindar el servicio de instalar varias distribuciones de Linux directamente en Windows. Estos archivos son, “bin, boot, Boot, dev, etc, lib, initr, sbin,sys, vmlinuz, run, var”, los cuales son pasados a una lista negra sin cifrar.
Actualmente WSL es bastante popular por los desarrolladores y usuarios, debido a que permite ejecutar archivos ejecutables Linux/UNIX directamente. Además, en Julio del presente año se lanzó su versión 2, en donde se incorporó el uso de un núcleo Linux real.
El experto dedujo que este cambio se debe a que en el pasado los hackers cifraron todos los archivos de alguna víctima, incluyendo las de WSL. Por tanto, hizo que estas instalaciones ya no funcionen. Dando el sentido de este cambio, debido a que se supone que un ransomware ideal, tiene la finalidad de encriptar los datos de valor sin influir en el funcionamiento del sistema operativo.
Desde Arkavia Networks nos encontramos monitoreando y analizando las nuevas variantes de las diversas familias de malware presentes hoy en día, siendo esta nueva versión de Ryuk bastante reciente, existiendo una gran probabilidad de que siga evolucionando con el paso del tiempo.
COMENTARIOS