Parliamo del ransomware Ryuk
Ryuk è il nome di una famiglia di ransomware, scoperta per la prima volta nell'agosto 2018. Ai bei tempi, conoscevamo Ryuk solo come un personaggio immaginario di una popolare serie di fumetti e cartoni animati giapponesi, ma ora lo conosciamo come una delle famiglie di ransomware più cattive che abbiano mai afflitto i sistemi di tutto il mondo.
Che cos'è il ransomware Ryuk?
Iniziamo con il definire il ransomware in generale. Il ransomware è una categoria di malware che blocca i file o i sistemi e li tiene in ostaggio per ottenere un riscatto. Ryuk è un tipo di ransomware utilizzato in attacchi mirati, in cui gli attori della minaccia si assicurano che i file essenziali siano crittografati in modo da poter chiedere un riscatto di importo elevato. Una tipica richiesta di riscatto di Ryuk può ammontare a qualche centinaio di migliaia di dollari. Malwarebytes lo rileva come Ransom.Ryuk. Per un approfondimento tecnico su questa minaccia, consultate il nostro spotlight sulla minaccia Ryuk ransomware.
Come funziona Ryuk?
Ryuk è una delle prime famiglie di ransomware a includere la capacità di identificare e crittografare le unità e le risorse di rete, nonché di eliminare le copie shadow sull'endpoint. Ciò significa che gli aggressori possono disabilitare il ripristino del sistema Windows per gli utenti, rendendo impossibile il ripristino da un attacco senza backup esterni o tecnologia di rollback.
Chi ha creato Ryuk?
L'attribuzione del malware è sempre difficile. Tuttavia, i ricercatori di Deloitte Argentina, Gabriela Nicolao e Luciano Martins, hanno attribuito il ransomware Ryuk a CryptoTech, un gruppo di criminali informatici poco conosciuto che è stato osservato propagandare Hermes 2.1 in un forum clandestino nell'agosto 2017. Hermes 2.1, secondo i ricercatori, è un altro nome del ransomware Ryuk.
Notizie sul ransomware Ryuk
- 2021:
- La città di Liegi colpita da ransomware, si sospetta Ryuk
- Il ransomware Ryuk sviluppa una capacità simile a quella di un worm
- 2020:
- VideoBytes: Il ransomware Ryuk prende di mira gli ospedali statunitensi
- Il Tampa Bay Times colpito da un attacco ransomware Ryuk
- 2019:
Chi sono gli obiettivi di Ryuk?
Gli obiettivi di Ryuk tendono a essere organizzazioni di alto profilo, dove gli aggressori sanno che è probabile che vengano pagate le loro richieste di riscatto molto elevate. Tra le vittime figurano EMCOR, ospedali UHS e diversi giornali. Prendendo di mira queste organizzazioni, si stima che Ryuk abbia generato un fatturato di 61 milioni di dollari per i suoi operatori tra febbraio 2018 e ottobre 2019.
Come viene consegnato Ryuk?
Come per molti attacchi di malware, il metodo di consegna è rappresentato dalle e-mail di spam(malspam). Queste e-mail vengono spesso inviate da un indirizzo di posta elettronica falsificato, in modo che il nome del mittente non desti alcun sospetto.
Un tipico attacco Ryuk inizia quando un utente apre un documento Microsoft Office armato allegato a un'e-mail di phishing. L'apertura del documento provoca l'esecuzione da parte di una macro dannosa di un comando PowerShell che tenta di download il Trojan bancario Emotet. Questo Trojan ha la capacità di download malware aggiuntivo su un computer infetto che recupera ed esegue Trickbot, il cui payload principale è lo spyware. Questo raccoglie le credenziali di amministrazione, consentendo agli aggressori di spostarsi lateralmente verso le risorse critiche connesse alla rete. La catena di attacco si conclude quando gli aggressori eseguono Ryuk su ciascuna di queste risorse.
Quindi, una volta che la rete è stata violata, gli aggressori decidono se vale la pena di esplorare ulteriormente e infiltrarsi nella rete. Se dispongono di una leva sufficiente per richiedere una somma elevata, allora utilizzano il ransomware Ryuk.
Come posso proteggermi da Ryuk?
Il primo passo per proteggersi da qualsiasi attacco ransomware è investire in una protezione anti-malware/antivirus, preferibilmente una protezione in tempo reale progettata per contrastare gli attacchi di advanced malware come il ransomware. Dovreste anche cercare funzioni che proteggano i programmi vulnerabili dalle minacce (una tecnologia anti-exploit ) e che impediscano al ransomware di tenere in ostaggio i file (un componente anti-ransomware ). Alcune soluzioni anti-malware offrono una tecnologia di rollback, appositamente studiata per contrastare gli effetti del ransomware.
Inoltre, per quanto possa essere doloroso, è necessario creare regolarmente dei backup sicuri dei propri dati. Il nostro consiglio è di utilizzare un cloud storage che includa una crittografia di alto livello e un'autenticazione a più fattori. Un'altra opzione è l'acquisto di USB o di un disco rigido esterno in cui salvare i file nuovi o aggiornati; assicuratevi però di scollegare fisicamente i dispositivi dal computer dopo aver eseguito il backup, altrimenti potrebbero essere infettati da ransomware.
Assicuratevi poi che i vostri sistemi e software siano aggiornati regolarmente. L'epidemia di ransomware WannaCry ha sfruttato una vulnerabilità del software Microsoft e, sebbene l'azienda abbia rilasciato una patch per la falla di sicurezza nel marzo 2017, molte persone non hanno installato l'aggiornamento, lasciandole così esposte agli attacchi. Comprendiamo che è difficile rimanere al passo con un elenco sempre crescente di aggiornamenti da un elenco sempre crescente di software e applicazioni che si utilizzano nella vita quotidiana. Per questo motivo vi consigliamo di modificare le impostazioni per abilitare l'aggiornamento automatico.
Infine, rimanete informati. Uno dei modi più comuni in cui i computer vengono infettati da ransomware è l'ingegneria sociale. Istruite voi stessi (e i vostri dipendenti se siete titolari di un'azienda) su come individuare le e-mail di phishing, i siti web sospetti e altre truffe. E, soprattutto, esercitate il buon senso. Se sembra sospetto, probabilmente lo è.
Come posso rimuovere Ryuk?
È possibile utilizzare la consoleMalwarebytes Anti-Malware Nebula per eseguire la scansione degli endpoint. Scegliere l'opzione Scansione + Quarantena. Successivamente, è possibile controllare la pagina Rilevamenti per vedere quali minacce sono state trovate. Nella pagina Quarantena è possibile vedere quali minacce sono state messe in quarantena e ripristinarle se necessario. Osservate attentamente la pagina dei Rilevamenti per vedere se riuscite a trovare la risposta a come Ryuk è stato consegnato. Non si vuole lasciare dietro di sé alcuna backdoor che gli aggressori possano riutilizzare!
Se si sospetta che la consegna di Ryuk sia stata effettuata da Emotet, è necessario eseguire alcuni passaggi aggiuntivi. Se il computer è collegato a una rete, isolarlo immediatamente. Una volta isolato, assicuratevi di applicare una patch e di pulire il sistema infetto. Ma non è tutto. A causa del modo in cui Emotet si diffonde nella rete, un computer pulito può essere reinfettato quando viene ricollegato a una rete infetta. Pulite uno per uno tutti i computer della rete. È un processo noioso, ma le soluzioni aziendali diMalwarebytes possono renderlo più semplice, isolando e rimediando gli endpoint infetti e offrendo una protezione proattiva contro future infezioni da Emotet.