¿Qué relación hay entre Ryuk, TrickBot y Emotet?

Formaban una cadena de infección: Emotet infectaba vía spam, descargaba TrickBot como segunda fase, y TrickBot proporcionaba acceso a los operadores de Ryuk para desplegar el ransomware. Cada componente era operado por un grupo diferente pero cooperaban estrechamente.

¿Quién estaba detrás de Ryuk?

El grupo conocido como Wizard Spider (CrowdStrike) o Gold Blackburn (Secureworks), con base en Rusia. El mismo grupo evolucionó a Conti en 2020, manteniendo gran parte del código y la infraestructura.

¿Cuánto dinero generó Ryuk?

Se estima que Ryuk generó más de 150 millones USD en rescates entre 2018 y 2021. Un solo ataque contra Universal Health Services (UHS) en septiembre de 2020 costó a la empresa 67 millones USD en daños.

¿Por qué Ryuk atacaba hospitales?

Los hospitales son objetivos atractivos porque la interrupción de servicios puede poner vidas en riesgo, lo que incrementa la presión para pagar rápidamente. Ryuk atacó múltiples hospitales, incluyendo durante la pandemia de COVID-19 en 2020, lo que generó condena internacional.

No. Ryuk fue reemplazado por Conti en 2020-2021. El mismo equipo core que operaba Ryuk creó Conti con capacidades mejoradas. Conti a su vez se disolvió en 2022 y sus miembros migraron a Royal, Black Basta y otros grupos.

IntermedioransomwareRyukTrickBotBazarLoaderEmotetecosistema

Ryuk, TrickBot y BazarLoader: Anatomía del Ecosistema de Infección Más Devastador

Análisis del ecosistema Ryuk: cómo TrickBot y BazarLoader servían como vectores de acceso inicial para el ransomware más lucrativo de 2018-2021. Cadena de infección completa, relación con Conti, y lecciones para la defensa.

MalwareIntel Research·21 de mayo de 2026·12 min lectura

Serie: Ransomware — Parte 9

El ecosistema que definió el ransomware moderno

Entre 2018 y 2021, la combinación de Emotet, TrickBot y Ryuk representó la amenaza de ransomware más sofisticada y lucrativa del momento. No era un solo malware: era un ecosistema de tres componentes operados por grupos que cooperaban, cada uno especializado en una fase de la cadena de ataque.

Este modelo de especialización (un loader para acceso inicial, un banking trojan para post-explotación, y un ransomware para monetización) definió el patrón que todo el ecosistema de ransomware adoptó después. Entender cómo funcionaba este ecosistema es entender la génesis del ransomware moderno.

Los tres componentes del ecosistema

La cadena de infección

Email spam masivo
      |
      v
  [EMOTET]  -----> Infección inicial (botnet de distribución)
      |
      v
  [TRICKBOT]  ---> Post-explotación (credential theft, recon, lateral movement)
      |
      v
  [RYUK]  -------> Monetización (cifrado de la red, extorsión)

Emotet: el distribuidor

Atributo	Detalle
Tipo	Botnet / Malware Loader
Operador	Mealybug (Symantec), TA542 (Proofpoint)
Activo	2014-2021 (takedown enero 2021), resurgió brevemente 2021-2022
Vector	Email spam con documentos Office maliciosos o enlaces
Función en el ecosistema	Infección masiva inicial, venta de "instalaciones" a TrickBot

Emotet era la puerta de entrada. Operaba la botnet de spam más grande del mundo, enviando millones de emails diarios con documentos Word/Excel con macros maliciosas. Cuando una víctima abría el documento y habilitaba macros, Emotet se instalaba y reportaba al C2.

Emotet no ejecutaba ataques de ransomware directamente. Vendía acceso a máquinas infectadas como servicio. TrickBot era uno de sus principales clientes: pagaba por "instalaciones" de su payload en máquinas ya comprometidas por Emotet.

TrickBot: el operador de post-explotación

Atributo	Detalle
Tipo	Banking trojan evolucionado a plataforma de post-explotación
Operador	Wizard Spider (CrowdStrike), Gold Blackburn (Secureworks)
Activo	2016-2022 (degradado progresivamente)
Capacidades	Credential theft, AD recon, lateral movement, módulos extensibles
Función en el ecosistema	Evaluación del objetivo, preparación para Ryuk

TrickBot comenzó como un banking trojan (sucesor de Dyre/Dyreza) pero evolucionó hasta convertirse en una plataforma modular de post-explotación. Sus módulos incluían:

Módulo	Función
pwgrab	Robo de credenciales de navegadores, email, FTP
shareDll	Propagación por SMB dentro de la red
wormDll	Propagación tipo gusano por EternalBlue (MS17-010)
networkDll	Reconocimiento de red y mapeo de la topología
domainDll	Enumeración de Active Directory
masrv	Escaneo de red con Masscan integrado
tabDll	Robo de cookies y tokens de sesión
rdpScanDll	Brute force de RDP

La arquitectura modular permitía a los operadores cargar solo los módulos necesarios para cada objetivo, minimizando la huella y adaptando la operación al entorno de la víctima.

Ryuk: el monetizador

Atributo	Detalle
Tipo	Ransomware (targeted, human-operated)
Operador	Wizard Spider (mismo grupo que TrickBot)
Activo	Agosto 2018 - 2021 (reemplazado gradualmente por Conti)
Origen del código	Derivado de Hermes ransomware (posible compra a Lazarus Group)
Ingresos estimados	Más de 150 millones USD
MITRE ID	S0446

La cadena de infección detallada

Paso 1: Emotet compromete la máquina inicial

La víctima recibe un email con un documento Word adjunto o un enlace a una descarga
El documento contiene macros VBA que descargan y ejecutan Emotet
Emotet establece persistencia (scheduled task, registry key)
Emotet se comunica con su C2 y reporta la infección

Paso 2: Emotet descarga TrickBot

Los operadores de Emotet venden la "instalación" a los operadores de TrickBot
Emotet descarga y ejecuta el payload de TrickBot en la máquina comprometida
TrickBot ejecuta su módulo de reconocimiento inicial

Paso 3: TrickBot evalúa el objetivo

Los operadores de TrickBot (Wizard Spider) evalúan si el objetivo merece un ataque de ransomware:

¿Es una empresa con revenue suficiente para pagar un rescate significativo?
¿Tiene una red corporativa con Active Directory?
¿Hay infraestructura crítica (file servers, bases de datos, backups)?

Si el objetivo es suficientemente valioso, los operadores proceden con la post-explotación manual.

Paso 4: post-explotación manual

Un operador humano de Wizard Spider toma control de la sesión TrickBot y ejecuta:

Credential harvesting: Mimikatz para extraer credenciales de LSASS
AD enumeration: BloodHound/AdFind para mapear Active Directory
Lateral movement: PsExec, WMI, RDP con credenciales robadas
Privilege escalation: Kerberoasting, DCSync si es necesario
Backup destruction: identificar y destruir backups (Veeam, shadow copies)
Domain admin: obtener credenciales de Domain Admin

Paso 5: despliegue de Ryuk

El operador genera un payload Ryuk con la clave pública RSA específica para esta víctima
Copia el payload a un servidor accesible en la red (normalmente el Domain Controller)
Despliega Ryuk a todos los sistemas vía:
- GPO (Group Policy Object)
- PsExec con lista de hosts
- Scheduled tasks remotas
Ryuk elimina shadow copies, detiene servicios y cifra archivos
La nota de rescate aparece con instrucciones para contactar al grupo vía email (ProtonMail)

Dwell time

El dwell time del ecosistema Emotet-TrickBot-Ryuk era típicamente:

Emotet a TrickBot: 1-7 días
TrickBot a Ryuk: 2-14 días (tiempo de evaluación y post-explotación)
Total: 3-21 días

En ataques urgentes (víctimas de alto valor identificadas rápidamente), el proceso completo podía comprimirse a 48-72 horas.

Análisis técnico de Ryuk

Cifrado

Ryuk usaba un esquema de cifrado robusto:

Simétrico: AES-256 en modo CBC con una clave única por archivo
Asimétrico: RSA-4096 para cifrar las claves AES
Key hierarchy: clave RSA global del operador y clave RSA por víctima

Comportamiento pre-cifrado

Ryuk ejecutaba las siguientes acciones antes de cifrar:

Inyección en un proceso legítimo (frecuentemente notepad.exe o svchost.exe)
Eliminación de shadow copies:

cmd.exe /c "vssadmin.exe delete shadows /all /quiet"
cmd.exe /c "wmic.exe shadowcopy delete"
cmd.exe /c "bcdedit /set {default} bootstatuspolicy ignoreallfailures"
cmd.exe /c "bcdedit /set {default} recoveryenabled No"

Detención de servicios de backup, bases de datos y antivirus
Eliminación de catálogos de backup: cmd.exe /c "wbadmin.exe delete catalog -quiet"
Cambio del tamaño del shadow storage a su mínimo para prevenir futuras copias
Enumeración de drives locales y shares de red

Exclusiones

Ryuk excluía deliberadamente ciertos directorios y archivos para mantener el sistema operativo funcional:

Directorios: Windows, Mozilla, Chrome, Microsoft, Recycle
Extensiones: .exe, .dll, .hrmlog, .ini, .lnk
Archivos: RyukReadMe.html (la propia nota de rescate)

La nota de rescate

A diferencia de otros ransomware que usaban portales web en Tor, Ryuk proporcionaba una dirección email de ProtonMail (y a veces Tutanota) como medio de contacto. Esto era más simple pero también más vulnerable a disrupciones (ProtonMail cerró cuentas asociadas a Ryuk en varias ocasiones).

La nota era deliberadamente minimalista: sin countdown timers, sin leak site, sin amenazas de publicación de datos. Ryuk operaba con extorsión simple (cifrado solamente) durante la mayor parte de su vida activa. La doble extorsión llegaría con su sucesor, Conti.

BazarLoader: la evolución

De TrickBot a Bazar

En 2020, Wizard Spider introdujo BazarLoader (también conocido como BazarBackdoor o KEGTAP) como complemento y eventual reemplazo de TrickBot. Las razones:

TrickBot era cada vez más detectado por EDRs (demasiada exposición pública)
En octubre de 2020, Microsoft y partners obtuvieron una orden judicial para desmantelar la infraestructura de TrickBot (parcialmente exitoso)
BazarLoader era más sigiloso: binario más pequeño, menos funcionalidades, foco en acceso inicial

Característica	TrickBot	BazarLoader
Tamaño	Grande (~500 KB+)	Pequeño (~70 KB)
Módulos	15+ módulos cargables	Mínimos, foco en C2
Detección	Alta (muy conocido)	Baja (nuevo, menos firmas)
Distribución	Emotet o spam propio	Campañas de email dirigidas (BazarCall)
Persistencia	Registry, scheduled tasks	Scheduled tasks, COM hijacking

BazarLoader introdujo una técnica de distribución innovadora llamada BazarCall (o callback phishing):

La víctima recibe un email legítimo en apariencia informando de una suscripción a un servicio (por ejemplo, un servicio de streaming o antivirus) que será cobrada automáticamente
El email incluye un número de teléfono para "cancelar la suscripción"
La víctima llama al número, donde un operador humano (en un call center criminal) la guía para "cancelar"
El operador instruye a la víctima para descargar un "formulario de cancelación" o instalar un "software de soporte"
El archivo descargado es BazarLoader

Esta técnica era extremadamente efectiva porque no involucraba archivos adjuntos maliciosos (evitando filtros de email) y explotaba la interacción humana.

Ataques notables del ecosistema

Víctima	Fecha	Vector	Impacto
Universal Health Services (UHS)	Sep 2020	Emotet → TrickBot → Ryuk	400 hospitales afectados. Pérdidas: 67M USD
Sopra Steria	Oct 2020	TrickBot → Ryuk	Consultora francesa. Pérdidas: 50M EUR
Tribune Publishing	Dic 2018	Primer ataque Ryuk major	Distribución de periódicos interrumpida
DCH Health System	Oct 2019	TrickBot → Ryuk	3 hospitales en Alabama, pacientes derivados
EMCOR Group	Feb 2020	TrickBot → Ryuk	Fortune 500, servicios de construcción
City of New Orleans	Dic 2019	Ryuk	Emergencia declarada, sistemas municipales

El caso UHS: 400 hospitales

Universal Health Services opera más de 400 centros médicos en EEUU y UK. En septiembre de 2020, Ryuk cifró sistemas en todo el país simultáneamente. El impacto:

Personal médico recurrió a registros en papel durante semanas
Ambulancias desviadas a otros hospitales
Retrasos en resultados de laboratorio
La empresa reportó 67 millones USD en pérdidas (pre-tax) por el incidente
Recuperación completa tardó tres meses

El ataque a UHS durante la pandemia de COVID-19 generó condena internacional y contribuyó a que algunos grupos de ransomware (no Wizard Spider) declararan públicamente que evitarían atacar hospitales.

De Ryuk a Conti: la transición

La evolución

A partir de mediados de 2020, Wizard Spider comenzó la transición de Ryuk a Conti:

Aspecto	Ryuk	Conti
Modelo	Operado internamente	RaaS con salarios
Extorsión	Simple (solo cifrado)	Doble (cifrado + leak site)
Cifrado	AES-256-CBC	ChaCha20 (más rápido)
Comunicación	Email (ProtonMail)	Portal web en Tor
Negociación	Por email, lenta	Chat web en tiempo real
Escala	Selectivo (~100 víctimas/año)	Masivo (~300+ víctimas/año)
Leak site	No tenía	Sí, con countdown y publicación

La transición no fue instantánea. Durante un período de solapamiento (H2 2020 - H1 2021), ambos ransomware estaban activos simultáneamente, con Ryuk para víctimas legacy y Conti para nuevas operaciones.

Por qué la transición

Doble extorsión: Maze había demostrado que la publicación de datos era una palanca de presión efectiva. Ryuk no tenía leak site
Escalabilidad: Conti adoptó un modelo con más operadores (salarios), permitiendo atacar más víctimas simultáneamente
Velocidad: ChaCha20 y multithreading agresivo hacían a Conti significativamente más rápido
Profesionalización: portal web para negociación en vez de emails improvisados

Lecciones para la defensa

Puntos de detección en la cadena Emotet-TrickBot-Ryuk

Fase	Oportunidad	Herramienta
Emotet	Macros en documentos Office	Email gateway, sandbox, AMSI
Emotet	Conexiones a C2 conocidos	Firewall, threat intel feeds
TrickBot	Modules descargados (DLLs)	EDR, YARA
TrickBot	rdpScanDll (brute force RDP)	Event logs, NDR
TrickBot	Inyección en svchost.exe	Sysmon Event ID 8 (CreateRemoteThread)
BazarLoader	Descarga desde URL sospechosa	Proxy logs, DNS
BazarCall	Llamadas salientes tras email	Awareness training
Post-explot	Mimikatz / credential dumping	Sysmon Event ID 10 (acceso a LSASS)
Post-explot	BloodHound / AdFind	LDAP query anomaly detection
Ryuk	Shadow copy deletion	Sysmon Event ID 1, command line
Ryuk	Service stop masivo	Event ID 7036

La lección fundamental

El ecosistema Emotet-TrickBot-Ryuk demostró que la defensa contra ransomware no puede centrarse solo en el ransomware. Para cuando Ryuk se ejecuta, la red ya está completamente comprometida. Las oportunidades de detección reales están en las fases anteriores: el email de phishing, la macro de Emotet, la actividad de TrickBot, el movimiento lateral. La defensa en profundidad no es un concepto teórico: es la única estrategia que funciona contra cadenas de infección de múltiples etapas.

Fuentes y referencias

CrowdStrike. "Wizard Spider: In-Depth Analysis." CrowdStrike Intelligence, 2021.
CISA. "Ransomware Activity Targeting the Healthcare and Public Health Sector." Alert AA20-302A, October 2020.
CISA. "TrickBot Malware." Alert AA21-076A, 2021.
Mandiant. "UNC1878/Wizard Spider Threat Profile." Mandiant Intelligence, 2021.
Microsoft. "Disrupting the TrickBot botnet." Microsoft Security Blog, October 2020.
Europol. "World's Most Dangerous Malware Emotet Disrupted Through Global Action." January 2021.
UHS. "Universal Health Services Q3 2020 Earnings: Cyberattack Impact." October 2020.
The DFIR Report. "From BazarLoader to Conti Ransomware in 32 Hours." https://thedfirreport.com/
The DFIR Report. "Trickbot Leads Up to Fake 1Password Installation." https://thedfirreport.com/
Secureworks. "Gold Blackburn Threat Profile." Secureworks CTU, 2021.
MITRE ATT&CK. "Ryuk (S0446)." https://attack.mitre.org/software/S0446/
MITRE ATT&CK. "TrickBot (S0266)." https://attack.mitre.org/software/S0266/

Preguntas frecuentes

Libros recomendados

Sandworm (Andy Greenberg)

Amazon (enlace afiliado)

Intelligence-Driven Incident Response (Pease & Roberts)