Doctor Ryuk

Whoami
Trabajo como Delivery Consultant y como DFIR en Deloitte desde 2017
dentro del CIRA y el ECC-EMEA.
Docente en varios masters de Ciberseguridad en Territorio Nacional.
Miembro del Equipo Core de la Red Española de Alastria.
Grado en Informática de Sistemas por la Universidad de Salamanca.
Inquieto dentro del mundo del Análisis Forense y Blockchain
https://www.linkedin.com/in/carlos-morales-diego-65291a43/

https://twitter.com/CarlosMoralesD1

[email protected]
Índice
Introducción
Criptomonedas y Ciberseguridad
Criptojacking: Billeteras virtuales falsas, Codigo malicioso y Ransomware
El Doctor Ryuk
Herramientas para trazabilidad de propietarios de wallets
Conclusiones
Introducción
Introducción
Blockchain está ganando reconocimiento, pero hay todavía quienes
cuestionan la escalabilidad, seguridad y sostenibilidad de la tecnología.
La evolución de blockchain ha estado comparándose con el crecimiento
exponencial de internet, con comentarios y argumentos de que esta
tecnología potencial puede hacer disrupción en múltiples industrias
como Salud, Sector Público, Energía, Manufactura y, particularmente la
de Servicios Financieros, donde se prevé que sea clave en las finanzas y
el proveedor de un nuevo tejido de la industria
Introducción
Introducción
Ciberseguridad en contexto
El alto nivel de dependencia en la tecnología y en internet hoy día ha
resultado en nuevos modelos de negocios y flujos de ingresos para las
organizaciones, pero con nuevas brechas y oportunidades para quienes
realizan ciberataques. Los ataques cibernéticos se han vuelto cada vez
más específicos y complejos debido a la utilización de piezas de
malware más sofisticado y la creciente amenaza de organizaciones
cibernéticas profesionales.
Introducción
Aunque todavía es incipiente, existe una innovación prometedora en
blockchain encaminada a ayudar a las empresas a enfrentar desafíos
inmutables de riesgo cibernético como lo son la identidad digital y
mantener la integridad de los datos.
Blockchain ayuda a mejorar potencialmente la defensa cibernética ya
que la plataforma pueda asegurar y prevenir actividades fraudulentas a
través de mecanismos de consenso, y detectar la manipulación de
datos debido a sus características subyacentes de inmutabilidad,
transparencia, auditabilidad, encriptación de datos y resiliencia
operacional.
Ciberseguridad y
Criptomonedas
Criptomonedas y Ciberseguridad
A pesar de la escasa regularización en el ámbito de las criptomonedas,
su uso se está disparando en distintos sectores, siendo cada vez más
aceptadas en todo tipo de comercios como forma de pago,
sustituyendo las transacciones con moneda convencional. De este
hecho se desprende, que el fraude mediante criptomonedas representa
una de las mayores amenazas de ciberseguridad.
Y es que este tipo de ataques impactan directamente en las
finanzas de las organizaciones.
Criptomonedas y Ciberseguridad
El vacío legal de las criptomonedas ha provocado un valor desordenado
entre ellas, lo cual aunado a que es un canje comercial sin
intermediarios financieros o control estatal, hacen de éstas un objetivo
deseable para los piratas informáticos.
Además, sumado a las preocupaciones de ciberseguridad en este
sector, se hace relevante su empleo para actividades ilícitas.
Las autoridades han advertido su potencial uso ilegal, ya que se puede
mover dinero sin ningún tipo de control bancario, cayendo en delitos
como: extorsión, evasión de impuestos y lavado de dinero.
Criptomonedas y Ciberseguridad
El auge de monedas virtuales, como el bitcoin o el ethereum, ha
estimulado a los ciberdelincuentes a operar con ataques desde este
campo.
Estos ciberataques también conocidos como Cryptojacking, pueden ser
mediante:
• Billeteras virtuales falsas
• Códigos maliciosos
• Ransomware
Criptojacking
Criptojacking
La web se ha convertido en un espacio traicionero en los últimos años.
Los sitios web gubernamentales y los sitios web corporativos han
fortalecido su seguridad para hacer frente a los crecientes casos de
ataques. Estos ataques de nueva generación son más sigilosos y más
fuertes de lo que solían ser. Este malware se dirige a las víctimas de
cryptojacking y puede aparecer en cualquier lugar.
El criptojacking implica el proceso de infectar sistemas operativos con
códigos maliciosos que utilizan la CPU del usuario desprevenido para
extraer criptomonedas.
¿Qué es el cryptojacking?
El cryptojacking es el uso no autorizado de la potencia informática de
alguien para extraer criptomonedas, sin el conocimiento o
consentimiento del propietario del dispositivo.
¿Alguna vez te has preguntado por qué la CPU de tu ordenador está al
100% mientras descargas un torrent o después de haber visitado
«ciertos» sitios?
Criptojacking
Un cryptojacker encontrará una manera de instalar malware en el
ordenador o teléfono de un usuario, que luego usa la potencia de
procesamiento del dispositivo y ejecuta un programa de minería o
script en segundo plano, recolectando en secreto recompensas de
minería de monedas virtuales.
Debido a que las criptomonedas como Bitcoin y Litecoin son
seudónimas por naturaleza, lo que significa que no son completamente
anónimas y pueden rastrearse en la cadena de bloques, la mayoría de
los malos actores prefieren extraer monedas basadas en la privacidad
como Monero, que es muy difícil de rastrear y fácil de convertir en
Bitcoin.
Billeteras virtuales
Billeteras virtuales falsas
Una de las formas con la cual los ciberdelincuentes suelen apoderarse
de las criptomonedas de usuarios o sus cuentas, es a través del robo de
identidad (phishing), debido a que en la cadena de bloques
(Blockchain) no se pueden deshacer una vez hecha la transacción.
El uso de las billeteras virtuales utilizando las mismas contraseñas de
Facebook, Gmail, Outlook, iCloud, donde los usuarios suelen usar las
mismas claves de accesos para todo, hace más interesante y propenso
a ataques en este mundo de las criptomonedas por parte de los
ciberdelincuentes
Billeteras virtuales falsas
Trezor wallet Inc
Coin Wallet
Código malicioso
Código malicioso
La mayoría de los códigos de criptominería maliciosos trataban de
descargar y ejecutar un programa de minado en los dispositivos.
Sin embargo, una nueva forma de malware de criptominería se ha
convertido muy popular recientemente: mina a través del navegador
con un simple JavaScript.
Este método provoca la misma actividad maliciosa sin necesidad de
instalar ningún software.
Código malicioso
El criptominado y el cryptojacking provocan una actividad de
procesador extremadamente alta que tiene efectos secundarios
notables.
En los dispositivos Android, la carga del dispositivo puede incluso
provocar un "hinchazón" de la batería, y por lo tanto, un daño físico
del dispositivo que puede ocasionar desperfectos en el mismo.
En el hardware y software pueden ocurrir problemas similares; sin
embargo en el caso del cryptojacking, estos aparecen después de que
la víctima acceda a un sitio web específico, probablemente uno que
incorpora el código JavaScript cryptomining.
Código malicioso
Código malicioso
Código malicioso
Ransomware
Ransomware
Eddy Willems es la persona que ostenta el título de ser una de las
primeras víctimas de ransomware de la historia.
En 1989, cuando se produjo el primer incidente de este estilo, el
criminal que le intentó atacar le pedía que enviase 189 dólares.
Recibió uno de los 20.000 disquetes que se enviaron a miles de
asistentes a un congreso sobre el VIH organizado por la Organización
Mundial de la Salud en Estocolmo, Suecia. Le pidieron que comprobase
qué había dentro del dispositivo. Cuando lo abrió con el ordenador, este
se quedó cargando.
Ransomware
Ransomware
Los disquetes llegaron a sus destinos a través de una lista de correo
postal y las investigaciones acerca del remitente condujeron a las
autoridades a un biólogo evolutivo que estudiaba e investigaba en
Harvard llamado Joseph Popp.
El disquete que incluía el ransomware hoy es una reliquia de la
informática y un museo le ofreció 1.000 dólares a Willems por él, pero
el experto prefirió quedárselo.
Ransomware
Más de 8.800 incidentes en firmas españolas con costes mínimos de
100 millones de euros durante 2019.
En 2020 los incidentes se redujeron a la mitad (4.088) pero los costes
crecieron hasta superar los 125 millones de euros.
Se trata de un incremento del 23,5% que convierte a España en el
tercer país con mayores pérdidas por ciberataques con ransomware .
Está por debajo de Estados Unidos y Francia, que registran más de
15.000 y 4.000 incidentes respectivamente, pero costes mínimos de
490 millones y 132 millones respectivamente.
Ransomware
2020 fue un año difícil en términos de ciberataques
con ransomware para empresas y administraciones del país. Se vieron
afectados incluso hospitales, a pocas semanas de que estallara la crisis
sanitaria provocada por la pandemia.
Aunque los costes mínimos reflejados para las empresas españolas se
sitúan en los 125 millones de euros, el auténtico valor estimado de las
pérdidas que provocaron estos incidentes supera los 500 millones de
euros.
Ransomware
Se estima que unos 15.000 millones de euros fueron pagados en
rescates de ransomware a pesar de que la recomendación de las
autoridades en todo el mundo es no ceder a los chantajes de los
criminales y no aceptar sufragar esos cargos. El problema, claro, es que
desde principios de 2020 estas mafias ponen en práctica lo que se ha
dado en conocer como "doble extorsión".
Si la víctima quería recobrar la normalidad, tendría que pagar un
rescate mediante criptomonedas. Pero desde 2020 los delincuentes,
además de atacar con el ransomware, roban información sensible, y
fuerzan a sus víctimas a pagar si no quieren ver datos de clientes o
contratos confidenciales publicados y filtrados en la red.
Ransomware
Solo en 2020 se multiplicaron los incidentes causados con ataques
con ransomware a empresas españolas.
Adif, sufrió un ciberataque que acabó con el volcado de datos sensibles
de la organización publicados en la red porque se negaron a pagar un
rescate.
Mapfre fue víctima de un incidente que fue capaz de resolver
adecuadamente, y que comunicó con absoluta transparencia, tal y
como le reconoció recientemente la propia Agencia Española de
Protección de Datos.
Ransomware
Los incidentes con ransomware son constantes y afectan sobre todo a
pequeñas y medianas empresas.
La razón es que muchas de las mafias que envían estos programas de
ataque reivindican sus fechorías en sus propias páginas web en la dark
web, donde además lanzan comunicados en los que detallan la cuantía
del rescate que solicitan y a qué tipo de datos sensibles han tenido
acceso y filtrarán si sus víctimas no acaban aceptando el chantaje.
Y en 2021…..
Ransomware
Los ataques con ransomware continúan impactando con fuerza sobre el
país. Se han visto afectadas grandes empresas como Glovo o The
Phone House, SEPE, UCM, Ministerio de Justicia…..

RYUK
Ransomware
Ransomware
Ransomware
Ransomware
Ransomware
Se ha escrito mucho sobre las muchas familias de ransomware durante
los últimos años. Algunas de estas familias son operadas por empresas
criminales exitosas y disciplinadas que funcionan como cualquier
negocio centrado en la tecnología con desarrolladores, evaluadores y
reclutadores.
La familia de ransomware Ryuk ha tenido un éxito particular en
términos económicos y ha tenido un impacto disruptivo en muchas
industrias de todo el mundo.
Ransomware
Binance y Huobi son los exchanges elegidos para lavar los fondos en
bitcoin del ransomware Ryuk.
Los criminales de Ryuk envían la mayoría de sus bitcoins a exchanges a
través de un intermediario para así poder retirarlos.
Aunque no especifican la cantidad de dinero que podría haberse lavado
en los exchanges de bitcoin, los investigadores Vitali Kremez y Brian
Carter estiman que el valor de la organización criminal detrás de Ryuk
podría ascender a unos 150 millones de dólares.
Ransomware
Ransomware
Los operadores de Ryuk preparan dos direcciones Protonmail únicas
para cada víctima y las utilizan para comunicarse.
Ryuk no utiliza actualmente un chat basado en la web como lo hacen
muchas otras operaciones de ransomware. Con la visibilidad limitada
para los analistas, está claro que los criminales detrás de Ryuk son muy
profesionales y no sienten simpatía por el estado, el propósito o la
capacidad de pago de las víctimas.
A veces, las víctimas intentarán negociar con Ryuk pero la respuesta es
NO.
Ransomware
Aunque la cadena de bloques de bitcoin es un libro de contabilidad
público que cualquiera puede revisar, las direcciones asociadas con los
pagos no se conocen necesariamente a menos que la persona que las
usa se revele de alguna manera a través de una solicitud legal o porque
el usuario asoció intencionalmente su identidad con una de sus
direcciones de Bitcoin.
Empresas criminales disciplinadas como Ryuk saben que manejar
millones de dólares en pagos de rescate de bitcoins atraerá la atención
de los investigadores de seguridad y las fuerzas del orden.
Ransomware
Ransomware
Las familias de malware precursoras que generalmente conducen a
Ryuk se utilizan para crear una puntuación para la víctima, de modo
que los operadores sepan qué tan lucrativo podría ser un objetivo.
El número de bienes de dominio es un indicador importante que el
malware precursor recopila automáticamente y que se observa antes
de un incidente de Ryuk. Luego, esta puntuación se utiliza para
identificar las redes de víctimas que serían las más propensas a pagar
un gran rescate.
El Doctor Ryuk
El Doctor RYUK
Un hospital bastante grande en algún punto de la geografía española.
Nos llaman desesperados porque intentan acceder a los documentos y
están cifrados, algunos ni pueden entrar en los equipos.
No saben que hacer…..¿Pagamos el rescate?

NUNCA
El Doctor RYUK
El Doctor RYUK
El Doctor RYUK
El Doctor RYUK
El Doctor RYUK
Comenzamos a analizar y preguntar por correos que se hayan abierto,
links abiertos…..
El Doctor RYUK
Comenzamos a analizar y se detectó un tráfico extraño hacia un
dominio….peculiar.
silenceel.com
Se busca información sobre este dominio, y gracias a Rufus
descubrimos un precioso Cobalt Strike
El Doctor RYUK
Al ser un incidente de gran magnitud, nos dirigimos a dicho hospital
para trabajar in situ… y saber cual es el paciente cero.
Más de 50 equipos infectados y alguno con más de un regalo que nos
hace sospechar de más de un grupo
El Doctor RYUK
Gracias a nuestro querido AV de Panda empezamos a ver las cosas más
claras.
El Doctor RYUK
Y sobre todo…se empieza a investigar más a fondo
El Doctor RYUK
Fueron varios días intensos en los que poco a poco fuimos
descubriendo las diferentes piezas que iban formando este
“rompecabezas”
El Doctor RYUK
El Doctor RYUK
Y nuevas técnicas que nunca antes se habían visto para exfiltrar
información pero que incluso a los malos les sale mal la jugada
El Doctor RYUK
Al final que descubrimos que nuestros amigos rusos estaban detrás de
una de las direcciones malditas…..pero también los americanos
El Doctor RYUK
Herramientas trazabilidad
criptomonedas
Trazabilidad de criptomonedas
Existe una gran variedad de herramientas que nos ayudan a trazar las
operaciones con criptomonedas, especialmente de Bitcoin
Bitcoin, ¿completamente anónimo?, ¿Es posible llegar hasta el
propietario de un wallet?

MUY DIFICIL PERO NO IMPOSIBLE

Elemetus
https://elementus.io/

Chainanalysis
https://www.chainalysis.com/

Herramientas gratuitas:
Bitcoinwhoiswho/Bitcoinabuse
https://bitcoinwhoswho.com/ y https://www.bitcoinabuse.com/

Walletexplorer
https://www.walletexplorer.com/
Bitinfocharts
https://bitinfocharts.com/
Trazabilidad de criptomonedas
Trazabilidad de criptomonedas
Conclusiones
Conclusiones
Blockchain y Ciberseguridad cada vez van más de la mano al igual
que otros sectores
Escasa regularización de las criptos y gran auge en los mercados
Gran uso de criptomonedas en actividades ilícitas
Aumento del criptojacking, especialmente Ransomware
2020 y 2021 años especialmente duros para muchas empresas por
los ataques del Ransonware
Concienciación de las empresas
GRACIAS