Ryuk, con permiso de WannaCry, ha conseguido labrarse un nombre propio en el mundo de la ciberseguridad. Ha afectado a múltiples empresas en todo 2019, y en España ha tenido especial incidencia por los ataques de empresas tan relevantes e importantes como Everis o a la cadena Ser. Su prevalencia ha sido tal que incluso el Centro Criptológico Nacional se vio obligado a lanzar una alerta a principios de octubre.
Es un ransomware, un programa malicioso cuyo objetivo es infectar un terminal y encriptar los archivos. Esta forma de operar le permite a los ciberdelincuentes pedir a sus víctimas un rescate económico para recuperar sus ficheros. Todos los expertos en ciberseguridad, tanto de agencias gubernales como de firmas privadas de antivirus, recomiendan siempre lo mismo: no pagar.
Y no menos importante es tener en cuenta que los archivos infectados puede provocar que las víctimas, aunque hayan pagado el rescate, pierdan ingentes cantidades de datos.
Además, recomiendan que en caso de pagar el rescate, se haga una copia de seguridad de los archivos encriptados. La razón no es otra que el desencriptador que ofrecen los ciberdelincuentes «elimina los archivos encriptados una vez considera que se han desencriptado correctamente».
Ryuk ha afectado en los últimos meses a varias empresas españolas. No ha sido tan mediático como WannaCry, que en marzo de 2017 puso en señal de alerta a Microsoft y en mayo del mismo año afectó a Telefónica. Este ransomware ha sido el protagonista del último tercio del año en este país, después de que haya formado una solvente dupla con el troyano Emotet.
Emotet, antiguo troyano bancario, se encarga de distribuir el ransomware accediendo e infectando terminales. La fórmula empleada más habitual es la de un correo electrónico con phising, es decir, con un cebo falso con el que la víctima piensa que está accediendo a una página o descargando un archivo legítimo: por ejemplo, una factura o un currículum del correo.
En realidad se trata de un fichero infectado que al abrirse desencadena una serie de procesos por el cual se acaba instalando el ransomware en el PC o el servidor de la empresa.
La prueba de que Emotet ha vuelto a su actividad es que en septiembre se detectó un incremento del 730% de su incidencia, según revelaba Markets Insider en un reciente artículo.
Emotet y Ryuk ya han afectado en España a administraciones públicas, como al Ayuntamiento de Jerez de la Frontera. La penetración de este ciberataque fue tanta que el Centro Criptológico Nacional se vio obligado a desplazar a varios técnicos que ayudasen a los funcionarios municipales a resolver el problema.
Además de Everis y la cadena Ser, semanas después, Ryuk podría haber estado detrás de múltiples ciberataques a otras grandes compañías.
Solo en las últimas semanas de Noviembre y Diciembre de 2019, se han conocido, además, ciberataques del estilo a multinacionales españolas como Prosegur y otras medianas empresas y también pymes un objetivo aun más fácil de atacar.