Cos’è Ryuk ransomware? E chi c’è dietro?

All’interno di questo articolo vedremo nel dettaglio cos’è Ryuk, quali sono stati gli attacchi e come difendersi, tra cui l’importanza di utilizzare una VPN.

Cos’è Ryuk ransomware?

Il Ransomware è una categoria di malware che blocca (crittografa) i tuoi file o sistemi e li trattiene a scopo di riscatto.

Ryuk [Ry-yookay] è un personaggio immaginario della serie manga Death Note. Ryuk rilascia una “nota di morte” che consente all’utente di uccidere chiunque semplicemente conoscendone il nome e il volto.

Il ransomware Ryuk infetta un sistema con un malware che crittografa i file essenziali, paralizzando il sistema infettato.

Una volta che i file o i sistemi sono stati bloccati, gli aggressori lasciano una richiesta di riscatto o inviano un’e-mail di follow-up inserendo l’importo in Bitcoin da pagare per poter sbloccare sistemi e file.

Una tipica richiesta di riscatto Ryuk può ammontare a poche centinaia di migliaia di dollari. A gennaio 2019 (solo cinque mesi dopo la sua creazione), si stima che la banda che gestisce Ryuk abbia guadagnato oltre 705,8 BTC in 52 transazioni per un valore totale di 3.701.893,98 di dollari.

Nel 2021, i ricercatori hanno stimato che la banda criminale del ransomware Ryuk valeva oltre 150.000.000 di dollari.

Come funziona un attacco ransomware Ryuk?

Un attacco ransomware Ryuk si sviluppa con un processo lento che impiega diverse ore per raggiungere il massimo impatto. È conosciuto per le sue capacità auto-replicanti simili ai worm, e le vittime notano raramente che i loro sistemi stanno pian piano venendo disabilitati poiché il cuore del sistema è l’ultimo a essere crittografato.

Le fasi di funzionamento di Ryuk ransomware sono le seguenti:

1. Infezione: l’infezione iniziale si verifica quando il malware Ryuk si fa strada in una rete. Il malware Ryuk viene diffuso attraverso molti metodi diversi, tra cui Emotet (recentemente chiuso dalle forze dell’ordine), TrickBot e ZLoader.
2. Scansione IP: Ryuk cerca quindi le condivisioni di rete sull’infrastruttura IT della vittima.
3. Crittografia: Ryuk cercherà ora le unità di rete e le posizioni di sistema che possono essere trovate in questi intervalli di indirizzi IP in modo da poterle crittografare.

Ryuk crittografa i file con l’algoritmo AES256 di CryptoAPI di Microsoft e una chiave AES univoca racchiusa in una chiave pubblica RSA memorizzata nel codice binario per ogni file. I file congelati avranno “.RYK” come estensione.

Come viene distribuito il ransomware Ryuk?

L’infezione iniziale del ransomware Ryuk viene eseguita tramite TrickBot, che in genere utilizza e-mail di spam per distribuire codice infetto nel computer della vittima. Queste e-mail vengono inviate da indirizzi di posta elettronica falsificati per indurre le vittime ad aprire un documento allegato a un’e-mail di phishing, ad esempio.

L’apertura del documento fa sì che una macro dannosa esegua un comando di PowerShell che tenta di scaricare un trojan bancario come TrickBot.

Gli aggressori possono così raccogliere le credenziali di amministratore, che consentono loro di passare alle risorse critiche connesse alla rete. Ryuk viene quindi eseguito su ciascuna di queste risorse, paralizzando risorse, file e sistemi.

Gli aggressori di Ryuk lasciano sempre una richiesta di riscatto, chiedendo che centinaia di migliaia di dollari vengano trasferiti a uno specifico indirizzo di portafoglio Bitcoin (BTC).

La richiesta di riscatto Ryuk viene solitamente scritta in un file chiamato “RyukReadMe.txt”. Il corpo della nota contiene le seguenti informazioni:

• Un avviso che la tua rete è stata violata.
• Che tutti i file su ciascun host della rete sono stati crittografati con un algoritmo potente.
• Che i tuoi backup sono stati crittografati o eliminati o che i dischi di backup e le copie shadow sono stati formattati o rimossi.
• Avvertenze che non esiste un software di decrittazione pubblicamente disponibile per invertire l’attacco e di non ripristinare, arrestare, rinominare, spostare o eliminare i file “readme” poiché ciò potrebbe comportare il mancato ripristino dei file.
• E infine un indirizzo e-mail (spesso Tutanota o ProtonMail) da contattare per decriptare i tuoi file assieme all’indirizzo del portafoglio Bitcoin.

In base alle transazioni verso indirizzi BTC Ryuk noti, la richiesta di riscatto può variare. I ricercatori hanno suggerito che l’importo del riscatto è calcolato in base alle dimensioni e al valore dell’azienda che viene attaccata.

Nel 2019, le richieste di riscatto di Ryuk erano comprese tra 130.000 e 450.000 dollari per due città della Florida che fornivano i servizi di emergenza e i sistemi amministrativi.

Nel 2020, Ryuk ha attaccato il sistema pubblico della contea di Baltimora e oltre 250 strutture mediche negli Stati Uniti. Sebbene entrambe le società non abbiano ammesso di aver pagato un riscatto, hanno riferito che è costato loro 10 milioni e 67 milioni di dollari per riprendersi dagli attacchi, ma non è ancora chiaro se quei soldi siano stati spesi per pagare i riscatti o meno.

Tipi di ransomware Ryuk

Una nuova variante del ransomware Ryuk è emersa nel gennaio 2021, con funzionalità “simil-worm” autoreplicanti. Le versioni precedenti di Ryuk non erano in grado di spostarsi lateralmente attraverso una rete, richiedendo invece un movimento manuale.

Un worm può diffondere copie di se stesso da un dispositivo all’altro senza l’interazione umana o la necessità di eseguire il root di se stesso in un programma specifico. Ciò significa che la nuova variante Ryuk può spostarsi automaticamente attraverso le reti, diffondendo l’infezione.

Nota: questa nuova variante di Ryuk è attualmente limitata alle macchine Windows.

Chi c’è dietro il ransomware Ryuk?

L’intelligence suggerisce che dietro il ransomware Ryuk ci sia il gruppo di hacker WIZARD SPIDER.

WIZARD SPIDER potrebbe operare dalla Russia, dal momento che Hermes era stato originariamente pubblicizzato su “exploit(.)in.” Questo forum di lingua russa è un noto mercato per la vendita di malware a bande criminali.

Inoltre, durante un’indagine forense su una rete violata da WIZARD SPIDER, sono stati recuperati manufatti con nomi di file in russo. Uno di questi file si chiamava “!!! file dlya Raboty !!!” che si traduce in “file di lavoro”.

I più grandi attacchi ransomware Ryuk

Il ransomware Ryuk ha causato il caos per oltre tre anni. Ecco due dei principali e peggiori attacchi Ryuk che conosciamo.

#3 maggio 2021, Volue

Quando Ryuk ha attaccato l’azienda norvegese di tecnologia energetica Volue, l’85% della popolazione del paese ha subito degli effetti: l’attacco ha avuto un impatto sull’infrastruttura dei sistemi per gli impianti idrici e delle acque reflue della Norvegia in oltre 200 comuni.

#2 settembre 2020, Servizi sanitari universali

Le conseguenze di questo devastante attacco sono costate all’UHS, uno dei maggiori fornitori di assistenza sanitaria negli Stati Uniti, 67 milioni di dollari per riprendersi. I pazienti sono stati costretti a recarsi in altri pronto soccorso e i risultati dei test e gli appuntamenti hanno subito ritardi.

Come prevenire gli attacchi di Ryuk?

L’infezione spesso inizia con un’e-mail di spam, quindi imparare a distinguere lo spam dalle e-mail reali è fondamentale, ma possiamo intraprendere molte altre azioni più tecniche per prevenire questi attacchi Ryuk.

Controlla i log di rete

I tuoi registri di rete potrebbero indicare delle attività non conformi, e poiché gli aggressori Ryuk iniziano crittografando i file al di fuori dell’host principale, potresti essere in grado di rilevare qualsiasi comportamento strano all’inizio.

Fai il backup dei tuoi dati

Crea backup sicuri dei tuoi dati su base regolare. È meglio utilizzare l’archiviazione cloud con crittografia di alto livello e autenticazione a più fattori per proteggere adeguatamente le tue preziose risorse.

Puoi anche eseguire il backup dei tuoi dati su dischi rigidi esterni, ma assicurati che siano disconnessi fisicamente dai tuoi dispositivi principali dopo il backup, altrimenti potrebbero essere infettati anche loro.

Proteggi la tua rete

È fondamentale proteggere la tua rete e implementare soluzioni di sicurezza, perché è lì che vengono eseguiti i processi Ryuk e i file vengono crittografati.

Usa una VPN

NordVPN è la prima VPN online a includere la protezione dalle minacce; quando avvii l’app, ti protegge attivamente da malware e altre minacce alla tua rete. Puoi usarla su laptop, tablet, smartphone e PC ed è progettata appositamente per l’uso in tutta l’azienda. Grazie alla funzionalità aggiuntiva Threat Protection, poi, è possibile rilevare ed eliminare in automatico il malware, e bloccare i siti potenzialmente pericolosi prima ancora di visitarli.