Ryuk ransomware

Ryuk, un nome che una volta era unico per un personaggio immaginario di una popolare serie di fumetti e cartoni animati giapponesi, è ora il nome di una delle famiglie di ransomware più cattive che abbiano mai afflitto i sistemi di tutto il mondo.

.st0{fill:#0D3ECC;} DOWNLOAD GRATUITAMENTEMALWAREBYTES

Anche per Windows, iOS, Android, Chromebook e Per il Business

Parliamo del ransomware Ryuk

Ryuk è il nome di una famiglia di ransomware, scoperta per la prima volta in libertà ad agosto 2018. Ai bei vecchi tempi, conoscevamo Ryuk solo come un personaggio immaginario in un famoso fumetto e serie animata giapponese, ma ora lo conosciamo come una delle famiglie di ransomware più brutte che hanno mai afflitto i sistemi in tutto il mondo.

Che cos'è il ransomware Ryuk?

Iniziamo definendo il ransomware in generale. Ransomware è una categoria di malware che blocca i tuoi file o sistemi e li tiene in ostaggio per un riscatto. Ryuk è un tipo di ransomware utilizzato negli attacchi mirati, dove gli attori delle minacce assicurano che i file essenziali vengano crittografati in modo che possano richiedere grandi somme di riscatto. Una tipica richiesta di riscatto di Ryuk può ammontare a poche centinaia di migliaia di dollari. Malwarebytes lo rileva come Ransom.Ryuk. Per un'analisi tecnica più approfondita di questa minaccia, consulta il nostro focus sulle minacce del ransomware Ryuk

Come funziona Ryuk?

Ryuk è una delle prime famiglie di ransomware a includere la capacità di identificare e crittografare unità e risorse di rete, oltre a eliminare copie ombra sul punto finale. Ciò significa che gli aggressori possono quindi disabilitare il Ripristino configurazione di sistema di Windows per gli utenti, rendendolo impossibile per recuperare da un attacco senza backup esterni o tecnologia di ripristino.

Chi ha creato Ryuk?

L'attribuzione del malware è sempre difficile. Tuttavia, i ricercatori di Deloitte Argentina, Gabriela Nicolao e Luciano Martins, hanno attribuito il ransomware Ryuk a CryptoTech, un gruppo di criminali informatici poco conosciuto che è stato osservato propagandare Hermes 2.1 in un forum clandestino nell'agosto 2017. Hermes 2.1, secondo i ricercatori, è un altro nome del ransomware Ryuk.

Notizie sul ransomware Ryuk

Chi sono gli obiettivi di Ryuk?

Gli obiettivi di Ryuk tendono ad essere organizzazioni di alto profilo dove gli aggressori sanno che è probabile che vengano pagate le loro elevate richieste di riscatto. Le vittime includono EMCOR, ospedali UHS e diversi giornali. In questi attacchi, si stima che Ryuk abbia generato un ricavo di 61 milioni di dollari per i suoi operatori tra febbraio 2018 e ottobre 2019.

Come viene distribuito Ryuk?

Come per molti attacchi di malware, il metodo di consegna è rappresentato dalle e-mail di spam(malspam). Queste e-mail vengono spesso inviate da un indirizzo di posta elettronica falsificato, in modo che il nome del mittente non desti alcun sospetto.
Un tipico attacco Ryuk inizia quando un utente apre un documento Microsoft Office armato allegato a un'e-mail di phishing. L'apertura del documento provoca l'esecuzione da parte di una macro dannosa di un comando PowerShell che tenta di download il Trojan bancario Emotet. Questo Trojan è in grado di download ulteriore malware su un computer infetto che recupera ed esegue Trickbot, il cui payload principale è lo spyware. Questo raccoglie le credenziali di amministrazione, consentendo agli aggressori di spostarsi lateralmente verso le risorse critiche connesse alla rete. La catena di attacco si conclude quando gli aggressori eseguono Ryuk su ciascuna di queste risorse.

Quindi, una volta che la tua rete è stata compromessa, gli aggressori decidono se ritengono che valga la pena di esplorare e infiltrarsi ulteriormente nella rete. Se hanno abbastanza influenza per richiedere una somma elevata, allora distribuiscono il ransomware Ryuk.

Note sul ransomware Ryuk
Note sul ransomware Ryuk

Come posso proteggermi da Ryuk?

Il primo passo per proteggersi da qualsiasi attacco ransomware è investire in una protezione anti-malware/antivirus, preferibilmente una protezione in tempo reale progettata per contrastare attacchi malware avanzati come il ransomware. Dovreste anche cercare funzioni che proteggano i programmi vulnerabili dalle minacce (una tecnologia anti-exploit ) e che impediscano al ransomware di tenere in ostaggio i file (un componente anti-ransomware ). Alcune soluzioni anti-malware offrono una tecnologia di rollback, appositamente studiata per contrastare gli effetti del ransomware.

Malwarebytes blocca il ransomware Ryuk
Malwarebytes blocca Ransom.Ryuk

Inoltre, per quanto possa essere doloroso, è necessario creare regolarmente dei backup sicuri dei propri dati. Il nostro consiglio è di utilizzare un cloud storage che includa una crittografia di alto livello e un'autenticazione a più fattori. Un'altra opzione è l'acquisto di USB o di un disco rigido esterno in cui salvare i file nuovi o aggiornati; assicuratevi però di scollegare fisicamente i dispositivi dal computer dopo aver eseguito il backup, altrimenti potrebbero essere infettati da ransomware.
Assicuratevi poi che i vostri sistemi e software siano aggiornati regolarmente. L'epidemia di ransomware WannaCry ha sfruttato una vulnerabilità del software Microsoft e, sebbene l'azienda abbia rilasciato una patch per la falla di sicurezza nel marzo 2017, molte persone non hanno installato l'aggiornamento, lasciandole così esposte agli attacchi. Comprendiamo che è difficile rimanere al passo con un elenco sempre più ampio di aggiornamenti da parte di un elenco sempre più ampio di software e applicazioni che si utilizzano nella vita quotidiana. Per questo motivo vi consigliamo di modificare le impostazioni per abilitare l'aggiornamento automatico.

Infine, rimanete informati. Uno dei modi più comuni in cui i computer vengono infettati da ransomware è l'ingegneria sociale. Istruite voi stessi (e i vostri dipendenti se siete titolari di un'azienda) su come individuare le e-mail di phishing, i siti web sospetti e altre truffe. E, soprattutto, esercitate il buon senso. Se sembra sospetto, probabilmente lo è.

Come posso rimuovere Ryuk?

Puoi usare la console Malwarebytes Anti-Malware Nebula per scansionare i tuoi endpoint. Scegli l'opzione Scansione + Quarantena. Successivamente, puoi controllare la pagina delle rilevazioni per vedere quali minacce sono state trovate. Nella pagina della Quarantena puoi vedere quali minacce sono state messe in quarantena e ripristinarle se necessario. Presta molta attenzione alla pagina delle rilevazioni per vedere se riesci a trovare la risposta a come Ryuk è stato consegnato. Non vuoi lasciare indietro nessuna backdoor che gli attaccanti possono riutilizzare!

Se si sospetta che la consegna di Ryuk sia stata effettuata da Emotet, è necessario eseguire alcuni passaggi aggiuntivi. Se il computer è collegato a una rete, isolarlo immediatamente. Una volta isolato, assicuratevi di applicare una patch e di pulire il sistema infetto. Ma non è tutto. A causa del modo in cui Emotet si diffonde nella rete, un computer pulito può essere reinfettato quando viene ricollegato a una rete infetta. Pulite uno per uno tutti i computer della rete. È un processo noioso, ma le soluzioni aziendaliMalwarebytes possono renderlo più semplice, isolando e rimediando gli endpoint infetti e offrendo una protezione proattiva contro future infezioni da Emotet.