Comunicados CCN-CERT

Nuevo informe de código dañino sobre la familia de ransomware Ryuk

  • Este documento puede consultarse en la parte pública del portal del CCN-CERT.
  • El informe ‘CCN-CERT ID-26/19’ recoge el análisis de la muestra de código dañino identificada por la firma MD5 12147c94f3211733f893d31d587d4ad6, perteneciente a la familia de ransomware Ryuk, vinculado a la última campaña del troyano Emotet.
  • Entre los apartados más destacados incluidos en el documento se encuentra el origen de la familia de ransomware Hermes, del que deriva Ryuk, el proceso de infección, esquema de cifrado, persistencia y desinfección. Asimismo, se incluye la regla de detección YARA Ryuk.

El Informe de Código Dañino CCN-CERT ID-26/19 “Ryuk” ya está disponible para su consulta en la parte pública del portal del CERT del Centro Criptológico Nacional (CCN-CERT). Este documento recoge el análisis de la muestra de código dañino identificada por la firma MD5 12147c94f3211733f893d31d587d4ad6, perteneciente a la familia de ransomware Ryuk, que deriva de la familia de ransomware Hermes.

Esta familia de ransomware se está viendo involucrada en despliegues masivos en redes internas de empresas, suponiendo una amenaza severa a la continuidad de negocio estas. Asimismo, está vinculada a la campaña Emotet, pues si bien el desarrollo inicial de este troyano tenía como principal objetivo el robo de credenciales bancarias, actualmente también es utilizado como servicio de distribución de otros códigos dañinos, como es el caso de Ryuk o el troyano bancario TrickBot.

En este documento se incluyen diversos apartados de interés, como el origen de la familia de ransomware Hermes, del que deriva Ryuk, el proceso de infección, esquema de cifrado, persistencia y desinfección. Asimismo, se incluye la regla de detección YARA Ryuk.

Puesto que la variante analizada en este informe no adquiere persistencia, los equipos afectados con Ryuk no requieren de una rutina de desinfección más allá de reiniciar el sistema, con objeto de terminar los procesos relativos al ransomware.

CCN-CERT (18/11/2019)

Informe de Código Dañino CCN-CERT ID-26/19 “Ryuk"

Ministerio de Defensa
CNI
CCN
CCN-CERT