Che cos’è il ransomware Ryuk?
Il ransomware è una forma di malware che consente agli aggressori di utilizzare tecniche di crittografia per infettare intere reti (compresi i file e i dispositivi associati), rendendole inaccessibili all’azienda target fino al pagamento di un riscatto. Il riscatto viene solitamente richiesto in una forma di criptovaluta, come il Bitcoin, e può essere di migliaia, se non milioni, di dollari. Il pagamento medio del riscatto ha raggiunto i 12.762 dollari nel 2019 e il costo medio dei tempi di inattività legati agli incidenti in un solo trimestre è arrivato a quota 64.645 dollari per azienda.
Gli aggressori prendono abitualmente di mira le grandi organizzazioni o le aziende con beni altamente sensibili e critici, come gli ospedali, una tecnica chiamata “caccia grossa”. Inoltre, a differenza di altre forme di ransomware, i criminali informatici che utilizzano il malware Ryuk attaccano individui specifici e si infiltrano manualmente nelle reti aziendali. Utilizzando strumenti open-source disponibili in rete, gli aggressori raccolgono dati sensibili e accedono a quante più aree aziendali possibili, acquisendo una conoscenza dettagliata delle operazioni interne.
Cronologia
Basato su Hermes, un precedente ransomware, Ryuk è stato identificato per la prima volta nel 2018 e si pensa che sia stato adattato e sviluppato da un’organizzazione criminale in Russia. Dal 2019, i gruppi criminali hanno aumentato il numero di attacchi, ottenendo milioni di dollari di riscatto da istituzioni finanziarie, ospedali e persino governi locali.
Il ransomware Ryuk continua a evolvere con l’apporto di gruppi di criminali informatici, come WIZARD SPIDER e la sua propaggine GRIM SPIDER. La comparsa di una nuova variante nel gennaio 2021 ha visto il ransomware Ryuk sviluppare funzionalità simili a quelle del worm, consentendo al malware di diffondersi automaticamente all’interno delle reti nelle quali riesce ad accedere, come un virus. Ciò gli consente di diffondersi da un sistema all’altro all’interno di un dominio Windows senza l’intervento di un operatore umano. Replicandosi rapidamente, riduce ulteriormente il tempo necessario per infettare reti e dispositivi, rappresentando un pericolo per le aziende.
Come Ryuk prende di mira le aziende?
Come la maggior parte delle minacce informatiche, il ransomware Ryuk viene distribuito attraverso diversi mezzi:
-
Invio di un’e‑mail di spam o di phishing con un allegato infetto che, una volta aperto, consente all'hacker di ottenere l’accesso remoto alla rete aziendale.
-
Invio di un’e‑mail di spear-phishing, tramite la quale l’aggressore Ryuk prende di mira gruppi o organizzazioni impersonando qualcuno all’interno dell’azienda o ad essa collegato. Tutte le e‑mail contenenti un allegato ransomware Ryuk possono anche essere inviate da un indirizzo e‑mail contraffatto (spoofing), consentendo così agli aggressori di eludere il rilevamento.
- Tramite una porta RDP, approfittando di protezioni di sicurezza deboli e consentendo agli hacker di accedere in remoto al sistema.
In alcuni attacchi Ryuk, la rete viene prima infettata da un Trojan (contenuto dannoso nascosto in un codice apparentemente legittimo) noto come Emotet. Il Trojan viene utilizzato come “dropper” per scaricare Trickbot, un’altra forma di malware. Questa operazione viene eseguita su più sistemi, consentendo all’aggressore di monitorare più obiettivi e di accedere a informazioni sensibili e credenziali amministrative. Il criminale informatico distribuisce quindi Ryuk all’obiettivo prescelto.
Similmente a quanto accade con i ransomware Locky, Cerber e REvil/Sodinokibi, una volta che ha violato la rete e la sicurezza del server con il ransomware Ryuk, l’attore della minaccia interromperà fino a 180 servizi e 40 processi necessari al funzionamento del sistema e porterà alla crittografia delle informazioni critiche.
Una volta che i file sono stati crittografati, il ransomware Ryuk elimina le copie originali e le eventuali copie shadow utilizzando un file .BAT. Ciò significa che tutti i tentativi delle vittime di recuperare i propri dati falliranno.
Ryuk utilizza algoritmi di crittografia sia simmetrica che asimmetrica per codificare i file, un metodo simile a quello dei ransomware Petya e Mischa, che utilizzano diversi metodi per criptare i dati degli utenti.
Impattando su tutti i file e le applicazioni della rete, il ransomware Ryuk, una volta raggiunti i suoi obiettivi, rilascia in ogni cartella un file di testo chiamato "RyukReadMe.txt" che riporta i dettagli della richiesta di riscatto. Se il riscatto viene pagato, come sostengono i criminali informatici, una copia della chiave di crittografia consentirà di recuperare i file.
Esempi (attacchi famosi)
Poiché il numero di attacchi ransomware Ryuk continua ad aumentare, i governi e le aziende devono rimanere vigili. Alcuni degli attacchi Ryuk di più alto profilo dal 2018 includono:
-
Ospedali negli Stati Uniti, in Germania e nel Regno Unito (2019-2020): diversi ospedali di questi Paesi sono stati vittime di ripetuti attacchi di malware Ryuk. Nel settembre 2020, Universal Health Services (UHS), che gestisce strutture nel Regno Unito e negli Stati Uniti, è stata colpita dal malware Ryuk. L’incidente è costato alla società 67 milioni di dollari e ci è voluto un mese per riprendere tutte le operazioni. Anche una rete di oltre 400 ospedali negli Stati Uniti e nel Regno Unito è stata colpita dal malware Ryuk nel settembre 2020, con tutte le 250 strutture degli Stati Uniti colpite in uno dei più grandi attacchi Ryuk in campo medico fino ad oggi. Il malware Ryuk sarebbe stato responsabile del 75% degli attacchi al settore sanitario statunitense nell'ottobre 2020.
- Lake City, Florida (2019): in seguito alla decisione di un dipendente di aprire un’e‑mail che conteneva una forma di malware Ryuk, i sistemi informatici della città sono stati bloccati ed è stato richiesto un riscatto di 460.000 dollari. Il sindaco di Lake City ha confermato che l’autorità cittadina ha pagato la richiesta di riscatto per riottenere l’accesso alle sue operazioni.
- Città di Onkaparinga, Australia Meridionale (2019): nel dicembre 2019, i sistemi informatici del Consiglio di Onkaparinga ad Adelaide sono stati infettati dal ransomware Ryuk, con una perdita di produttività di una settimana.
- EMCOR (2020): a febbraio, l’azienda Fortune 500 EMCOR ha confermato che diversi suoi sistemi informatici sono stati colpiti da un attacco malware Ryuk. L’azienda non ha confermato se sia stato pagato o meno un riscatto.
Come proteggere l’azienda da Ryuk
È stato previsto che il ransomware costerà alle aziende 1,85 milioni di dollari nel 2021 e 265 miliardi di dollari al mondo entro il 2031. Comprendendo come prevenire gli attacchi ransomware, le aziende possono ridurre in modo significativo la loro vulnerabilità online. Attualmente, diversi fattori potrebbero aumentare il rischio di essere presi di mira, tra cui software o dispositivi obsoleti, browser e/o sistemi operativi senza patch, backup deboli o inesistenti o mancanza di investimenti in strumenti di protezione della sicurezza informatica.
È fondamentale assicurarsi che i sistemi siano regolarmente aggiornati sulle nuove minacce informatiche installando soluzioni antivirus e anti-malware in tutta la rete aziendale. Questo software dovrebbe essere supportato anche da altri meccanismi difensivi, come ad esempio:
-
L’implementazione di un piano di ripristino di emergenza: in questo modo si possono sostenere i processi e i protocolli all’interno dell’organizzazione e definire i ruoli delle persone e dei contatti che devono essere notificati in caso di attacco informatico.
- Controllo dell’accesso basato sui ruoli: per ridurre al minimo il rischio di attacchi ransomware, è necessario introdurre backup e accessi con privilegi minimi. Il controllo dell’accesso basato sui ruoli (RBAC) può anche fornire un ulteriore livello di sicurezza, limitando l’accesso dei dipendenti ai dati non necessari per le loro specifiche esigenze lavorative.
Come posso rimuovere il ransomware Ryuk dalle mie operazioni?
Sebbene sia possibile rimuovere il ransomware Ryuk da un PC o Mac, il successo non è garantito: il malware continua a evolversi e a porre nuove sfide alle aziende.
L’implementazione di misure preventive, come l’installazione di una protezione anti-malware, può proteggere l’azienda da qualsiasi minaccia alla sicurezza informatica e incorporare aggiornamenti regolari su software e applicazioni, comprese le patch per risolvere eventuali vulnerabilità della rete.
Ryuk continua ad avere un impatto significativo sulle prestazioni aziendali
Con l’evoluzione continua di Ryuk e altri tipi di malware pericolosi, le aziende dovranno tenersi aggiornate su tutte le minacce alla sicurezza aziendale. Il ransomware Ryuk è stato adattato anche per attaccare i server Web e sfrutta le capacità di un worm, con un ulteriore impatto sulle operazioni.
Per ridurre il rischio di malware, sarà essenziale anche una solida sicurezza dei server e la soluzione di sicurezza informatica scelta dovrà cercare di rafforzare le prestazioni aziendali oltre a bloccare, rilevare e prevenire il rischio di attacchi.
© 2024 Gen Digital Inc.