skip to Main Content

Cybercrime, perché Ryuk è ancora uno dei ransomware più pericolosi

di Pierguido Iezzi

Cos’è Ryuk e perché è così pericoloso

Ryuk è un ransomware sofisticato che ha messo nel mirino aziende, cliniche ospedaliere – pubbliche e private – istituzioni governative e altre organizzazioni sin dal 2018. Il gruppo del cybercrime che opera il malware è noto per l’utilizzo di tecniche di hacking manuali e strumenti open-source per muoversi lateralmente all’interno di reti private per ottenere accesso a quanti più sistemi informatici prima di inizializzare la cifratura dei dati. Il codice malevolo è stato rilevato per la prima volta nell’agosto di tre anni fa. Al tempo era basato su un vecchio programma ransomware chiamato Hermes che veniva venduto nei forum underground del cybercrimine già nel 2017. La creazione di Ryuk, secondo le ricostruzioni più affidabili, sarebbe attribuita a un gruppo cyber criminale russo, lo stesso che tira le fila di Trickbot, un trojan di lunga data utilizzato per sottrarre credenziali. Solitamente, peraltro, gli aggressori chiedono il pagamento di cifre più alte rispetto ad altre gang che utilizzano altri ransomware. Si tratta di riscatti con valore variabile fra 15 e 50 Bitcoin (al cambio di fine marzo 2021 circa $100.000 – $500.000). Il motivo di tale performance è legato al fatto che i criminal hacker mettono nel mirino obiettivi ad alto valore, con l’approccio del “big game hunting” (caccia grossa).

La sua distribuzione e la catena d’attacco

Ryuk viene rilasciato quasi esclusivamente attraverso Trickbot o segue a un’infezione di questo malware. Solitamente passano settimane dalla prima infezione, visto che nel periodo iniziale vengono raccolte informazioni e dati utili da parte del malware iniziale per identificare “bottini” interessanti. Questa attività automatizzata di ricerca e selezione degli obiettivi è seguita da attività di hackeraggio manuale di ricognizione della rete e movimento laterale con l’obiettivo di compromettere utenti con alte credenziali e ottenere così l’accesso al maggior numero di sistemi possibile. Così, quando Ryuk viene rilasciato, il danno è così incisivo ed esteso da costringere l’organizzazione a pagare.

Il ransomware non è selettivo e cripta quasi tutti i dati

Il codice di Ryuk attuale è molto diverso dalla sua versione di partenza (legata ancora a Hermes): sono stati infatti implementati o rimossi meccanismi di persistenza e di elusione dei sistemi anti-virus. Questo perché spesso il ransomware viene rilasciato all’interno di un sistema di cui i Criminal hacker hanno già preso il controllo. Forse anche per questo motivo, il malware non è selettivo come altri ransomware rispetto ai file che decide di cifrare. Dopo essere stato rilasciato, Ryuk cripta tutti i file, fatta eccezione per quelli con estensione dll, lnk, hrmlog, ini ed exe. Non considera nemmeno i file conservati all’interno delle directory Windows System32, Chrome, Mozilla, Internet Explorer. Queste regole sono probabilmente state implementate per dare stabilità al sistema e permettere alla vittima di usare il browser per effettuare i pagamenti.

Al momento non ci sono tool disponibili per decifrare i dati criptati dalmalware, se non dietro al pagamento di un riscatto

Ryuk utilizza un sistema crittografico molto robusto basato su AES-256. Le chiavi per decriptare i dati vengono conservate alla fine dei file criptati, con estensione cambiata in .ryk. Le chiavi AES vengono a loro volta criptate con una chiave privata RSA-4096 controllata dagli aggressori. Questo sistema complesso ha come risultato la creazione di diversi ransomware su misura di ogni vittima. Nessun tool disponibile pubblicamente è in grado di decrittare i file del malware senza il pagamento del riscatto. Inoltre, il programma di decriptazione fornito dai cyber criminali alle vittime, in alcuni casi può corrompere o danneggiare i file (soprattutto nei casi di file di grandi dimensioni in cui la cifratura è parziale per ragioni di tempo).

Come proteggersi da Ryuk

Sebbene le organizzazioni possano prevedere specifici controlli tecnici al fine di ridurre i rischi di infezioni da Ryuk, difendersi da attacchi ransomware a gestione “umana” richiede solitamente la correzione di alcune cattive abitudini fra gli amministratori del sistema informatico nel mirino. A livello storico, alcune delle campagne offensive con ransomware a gestione umana di maggiore successo sono state rivolte verso server con software antivirus e altri sistemi di sicurezza disabilitati dagli admin per migliorare le performance. In molti casi questi server non sono nemmeno protetti da firewall e MFA o da password randomizzate. Gli specialisti di sicurezza, o le figure tecniche all’interno dell’azienda, nel caso in cui fossero a conoscenza di tale circostanza, dovrebbero cercare di applicare le necessarie contromisure. I team di cybersecurity dovrebbero inoltre cominciare a prendere con maggior serietà infezioni apparentemente rare e isolate. Come dimostra Ryuk, minacce comuni come quella di Emotet e TrickBot sono raramente isolate e possono essere il segno di problemi ben più profondi, che rimangono irrisolti rimuovendo semplicemente il primo malware rilevato.  Più in generale, infezioni da malware come Emotet, Dridex e Trickbot dovrebbero essere trattate come potenziali compromissioni dell’intero sistema, incluse eventuali credenziali conservate al suo interno.

Non abbassiamo la guardia!

Back To Top