skip to Main Content

Il ransomware Ryuk colpisce obiettivi mirati alto profilo. Cybercrime o Corea del Nord?

Il Ransomware Ryuk Colpisce Obiettivi Mirati Alto Profilo. Cybercrime O Corea Del Nord?

In rete circola Ryuk, un ransomware che colpisce obiettivi mirati e di alto profilo. Lo hanno scoperto i ricercatori di cyber security del MalwareHunterTeam, secondo cui dietro c’è il cybercrime. Per Check Point potrebbe esserci Lazarus, gli hacker di stato della Corea del Nord

In rete circola un ransomware che si chiama Ryuk e che colpisce obiettivi mirati e di alto profilo. Lo hanno scoperto i ricercatori di cyber security del MalwareHunterTeam. Sembra che dietro ci sia un gruppo del cybercrime, il quale seleziona le vittime attraverso attacchi informatici di tipo spear phishing o sfruttando servizi di desktop remoto compromessi. Il malware, però, potrebbe essere legato anche agli hacker di stato nord coreani Lazarus. Secondo Check Point, la minaccia cibernetica è collegata a un altro ransomware: Hermes, usato dalla formazione. Per cui le ipotesi sono due. O il codice sorgente del ransomware è stato ceduto a un altro gruppo, questa volta di cyber criminali, oppure è il cyber army di Pyongyang a diffonderlo. L’obiettivo, comunque, è lo stesso: ricattare i bersagli per estorcere loro del denaro.

Il CERT Nazionale Italiano spiega come funziona il malware

Ryuk, secondo quanto riporta il CERT Nazionale Italiano, si compone di un modulo con funzione di dropper e di un binario contenente il payload del ransomware. Il dropper estrae e memorizza sul computer della vittima il modulo del malware, disponibile per piattaforme a 32 e 64 bit, in una directory predefinita, a seconda della versione del sistema operativo. Nel caso in cui il file non possa essere creato in una di queste cartelle, il dropper tenta di costituirlo nella sua stessa directory. Successivamente, esegue il payload appena creato e termina il proprio processo. Una volta lanciato, Ryuk rimane dormiente per diversi minuti, dopo di che tenta di terminare più di 40 processi e più di 180 servizi diversi facenti capo a programmi antivirus, database, backup e gestori documentali. Successivamente enumera diversi processi di sistema nei quali inietta il proprio codice, che contiene la funzionalità di cifratura dei file.

Ryuk utilizza una combinazione degli algoritmi AESe RSA per cifrare i file e proteggere la chiave di cifratura. Inoltre evade i software di sicurezza informatica sudcoreani

Come molti altri malware di questa categoria, incluso Hermes, Ryuk utilizza una combinazione degli algoritmi AES e RSA per cifrare i file e proteggere la chiave di cifratura, ricorda il CERT Nazionale Italiano. Il ransomware effettua una scansione ricorsiva di tutti i dischi e le condivisioni di rete presenti nel sistema della vittima e cifra tutti i file. A eccezione di quelli contenuti in una lista di directory predefinita che include “Windows”, “Mozilla”, “Chrome”, “RecycleBin” e “Ahnlab” (che fa riferimento a un produttore sudcoreano di software di cyber security). Questo elemento farebbe propendere che chi ha sviluppato il malware abbia avuto contatti o sia legato agli hacker nord coreani.

Il ransomware chiede cifre astronomiche alle vittime, soprattutto aziende, per sbloccare i file. Si arriva fino a 50 Bitcoin, circa 276.000 euro. L’ipotesi rafforza che dietro c’è la mano degli hacker di stato di Pyongyang

Ryuk, peraltro, mostra alla vittima due differenti versioni della nota di riscatto: una più lunga e dettagliata e l’altra più sintetica  Anche la cifra richiesta varia a seconda del documento. In uno gli utilizzatori del ransomware vogliono 50 Bitcoin (circa 276.000 euro) e nell’altra tra i 15 e i 35 (83.000-138.000). Gli elevati importi a cui punta il malware fanno pensare che i cyber attacchi siano effettuati dopo un’attenta ricognizione dei bersagli e delle loro disponibilità economiche. Solitamente, infatti, i codici malevoli standard chiedono cifre tra i 300 e i 1.000 dollari. Infatti, le vittime accertate finora sembrano essere soprattutto aziende di grandi dimensioni, tra due due negli Stati Uniti e una in Germania. Anche questo elemento farebbe pensare che dietro alle aggressioni ci siano i nord coreani di Lazarus, alla ricerca di risorse per il regime di Pyongyang, oppure gruppi complessi del cybercrime.

Un articolo di Bleeping Computer sulla scoperta del Malware Hunter Team

Il rapporto di Check Point su Ryuk

Back To Top