El ransomware de Bitcoin que se infiltró en 100 empresas estadounidenses se propaga a China

Un virus ransomware que se ha infiltrado con éxito en más de 100 empresas gubernamentales y privadas de Estados Unidos y del mundo ha sido detectado en China, según un reciente informe de seguridad de Tencent.informe.

El código pernicioso, denominado Ryuk, apunta a “empresas de logística, empresas de Tecnología y pequeños municipios” con alto valor de datos, y exige recompensas de más de 5 millones de dólares pagados en Bitcoin, según la Oficina Federal de Investigaciones (FBI).

En enero, se creía que Ryuk estaba detrás de un ataque informático a Tribune Publishing, que afectó a todos los medios del conglomerado mediático. En junio, las autoridades de Lake City, Florida, pagaron un rescate de 460.000 dólares tras el colapso de los sistemas informáticos de la ciudad. Esto ocurrió dos semanas después del ataque informático de 600.000 dólares en Riviera Beach, Florida.

Se cree que Ryuk es una versión modificada del virus Hermes, que debutó en agosto de 2018. Se propaga a través de los métodos habituales de botnet y spam, y se infiltra a través de puertos IP no defendidos.

Una vez instalado, el malware malicioso elimina todos los archivos relacionados con la intrusión y detiene los procesos antivirus, ocultando así el vector de infección. Sin embargo, en un caso, agentes del FBI encontraron evidencia de que Ryuk ingresó mediante un ataque de fuerza bruta de Protocolos de Escritorio Remoto.

La agencia escribió en unDestello:

Una vez que el atacante accede a la red víctima, es posible que se descarguen herramientas adicionales de explotación de la red. Una vez ejecutado, Ryuk establece persistencia en el registro, se inyecta en los procesos en ejecución, LOOKS sistemas de archivos conectados a la red y comienza a cifrar los archivos.

El virus también descarga un archivo "RyukReadMe" que abre la carta de chantaje en el navegador de internet de la víctima. La página web HTML solo muestra las direcciones de correo electrónico de los dos hackers en la esquina superior izquierda, el nombre del virus en el centro de la página y la frase críptica "balance of shadow universe" en la esquina inferior derecha.

El FBI ha estado rastreando el virus desde 2018 y ha detectado varias modificaciones. Se informa que la variante china ejecuta simultáneamente un módulo de chantaje de BIT y 64 BIT , lo que podría permitir una mayor evolución del virus.

Hasta el momento no se ha revelado cuántas empresas chinas han sido infectadas ni el monto total que los piratas informáticos han exigido.

Tencent no respondió a una Request de comentarios sobre este artículo.

Pirata informáticoimagen vía Shutterstock