Ryuk Ransomware es considerado responsable del hack en la ciudad de Nueva Orleans – Ecoticias

El reciente ataque al Ayuntamiento de Nueva Orleans fue uno de los últimos. El hecho ocurrió en la madrugada del 13 de diciembre y se mantuvo intacto durante todo el día. Ahora, después de estudiar a fondo los volcados de memoria del pirateo, resultó ser el acto del infame grupo de ransomware, Ryuk.

El hack de la ciudad

Los servicios gubernamentales de la ciudad fueron atacados en diciembre 13 este año. Esto se descubrió cuando Kim LaGrue, el CIO de la ciudad, reveló a la prensa sobre el hackeo cuando encontraron actividad sospechosa en sus sistemas a las 5 am del 13 de diciembre.

Ryuk ransomware
Imagen de https://www.securitynewspaper.com/

Luego de tres horas, la situación sospechosa se confirmó cuando sus empleados comenzaron a acceder a sus respectivos sistemas. Pronto se informó al gobierno federal en busca de ayuda y todos los servidores de la ciudad se cerraron para comprometer el ataque.

Aunque todas las cosas electrónicas estaban cerradas, las comunicaciones de emergencia como el 911, el departamento de bomberos y policía, EMS, etc. se mantuvo sin cambios y continuó respondiendo a emergencias. En este punto, los funcionarios dijeron que aún no han recibido una solicitud / nota de rescate y no saben quién está detrás del ataque.

Seguimiento a través de volcados de memoria

Esta instancia se vinculó por primera vez a la pandilla Ryuk según los informes enviados a VirusTotal. Además, fue confirmado por una investigación de Colin Cowie de Red Flare Security.

Los volcados de memoria son referencias registradas por el sistema a todas las aplicaciones que se han utilizado en un período de tiempo específico. Esto puede consistir en cadenas, nombres de archivos, comandos y otra información en un archivo ejecutable, que se puede descifrar y usar para cualquier investigación adicional.

Una investigación más profunda por parte de Bleepingcomputer revela un archivo sospechoso llamado v2.exe (en la ruta C: Temp v2.exe), que contenía muchos archivos con la extensión .ryk (Ryuk ransomware) y algunas referencias a la ciudad de Nueva Orleans. Si bien esto concluye que este es el grupo Ryuk, hay casos en los que grupos de malware han ingresado a los sistemas de la Ciudad y han espiado durante mucho tiempo.

Fuente: BleepingComputadora