Ryuk è una famiglia di ransomware apparsa per la prima volta tra la metà e la fine del 2018. Nel dicembre 2018, il New York Times ha riferito che Tribune Publishing era stata infettata da Ryuk, costringendola a interrompere le attività di stampa a San Diego e in Florida.

Anche il New York Times e il Wall Street Journal sono stati colpiti dall’attacco, che ha causato problemi di distribuzione delle edizioni del sabato dei giornali.

Cos’è il ransomware Ryuk?

Essendo una variante del vecchio ransomware Hermes, Ryuk è in cima alla lista degli attacchi ransomware più pericolosi. Nel CrowdStrike 2020 Global Threat Report, Ryuk rappresenta tre delle prime 10 maggiori richieste di riscatto dell’anno: 5,3 milioni di dollari, 9,9 milioni di dollari e 12,5 milioni di dollari.

Ryuk ha attaccato con successo settori e aziende in tutto il mondo. Gli hacker chiamano la pratica di prendere di mira le grandi aziende “big game hunting” (Big Game Hunting, BGH). Si ritiene che il ransomware Ryuk sia gestito da un gruppo di criminali informatici russo noto come WIZARD SPIDER.

Ad UNC1878, un cybercriminale attivo nell’Europa orientale, sono stati ricondotti alcuni attacchi specifici nel campo dell’assistenza sanitaria.

Come avviene un attacco

La distribuzione di questo ransomware non è diretta: infatti, nell’infezione vengono prima scaricati altri malware. Quando Ryuk infetta un sistema, prima arresta 180 servizi e 40 processi. Questi servizi e processi potrebbero impedire a Ryuk di svolgere il proprio lavoro, dunque il loro arresto è necessario per facilitare l’attacco.

A quel punto, può avere luogo la cifratura dei dati: Ryuk cripta file come foto, video, database e documenti, e tutti i dati di interesse per gli utenti, utilizzando la crittografia AES-256. Le chiavi di crittografia simmetriche vengono quindi criptate utilizzando RSA-4096 asimmetrica.

Ryuk è in grado di criptare da remoto, comprese le condivisioni amministrative remote. Inoltre, può eseguire comandi di riattivazione della LAN, riattivando i computer per applicare la crittografia. Queste capacità contribuiscono all’efficacia e all’estensione delle sue attività di encrypting, nonché al danno che può causare.

Gli hacker inviano richieste di riscatto sotto forma di file denominati RyukReadMe.txt e UNIQUE_ID_DO_NOT_REMOVE.txt.

Vettore di attacco Ryuk

Ryuk può utilizzare il meccanismo del Download as a Service (DaaS) per infettare i sistemi presi di mira. DaaS è un servizio che un hacker offre a un altro. Se un hacker sviluppa un ransomware ma non sa come distribuirlo, altri hacker con queste capacità lo aiutano a distribuirlo.

Spesso, gli utenti inconsapevoli cadono preda di attacchi di phishing che facilitano l’infezione iniziale. AdvIntel segnala che il 91% degli attacchi inizia con email di phishing. È estremamente importante addestrare gli utenti a individuare le email di phishing. L’addestramento riduce drasticamente la possibilità di infezione.

Ryuk è un software del tipo Ransomware as a Service (RaaS) più noti e conosciuti in termini di portata dell’infezione. Ransomware as a service (RaaS) è un modello in cui gli sviluppatori di ransomware offrono il loro prodotto per l’utilizzo da parte di altri hacker.

Lo sviluppatore riceve una percentuale dei pagamenti di riscatto andati a buon fine. RaaS è un adattamento del modello SaaS (Software as a Service).

Una volta che l’utente clicca sull’email di phishing, Ryuk scarica ulteriori elementi malware chiamati dropper. Il malware aggiuntivo include Trickbot, Zloader, BazarBackdoor e altri. Questi dropper sono in grado di installare Ryuk direttamente.

Potrebbero anche installare un altro malware come Cobalt Strike Beacon per comunicare con una rete di comando e controllo (C2). Ryuk si scarica una volta installato il malware e sfrutta exploit come vulnerabilità ZeroLogon nei server Windows.

Trickbot

Trickbot è comparso nel 2016 e si ritiene che sia gestito da WIZARD SPIDER, lo stesso gruppo di hacker che gestisce Ryuk. Questo malware è stato utilizzato come trojan bancario per rubare credenziali utente, informazioni di identificazione personale e bitcoin.

Trickbot è stato progettato da hacker esperti, i quali hanno fatto in modo da renderlo utile per scopi aggiuntivi, come la ricerca di file su un sistema infetto. Può anche operare un side movement da una macchina all’altra attraverso la rete.

Le capacità di Trickbot ora includono raccolta di credenziali, mining di criptovalute e altro, ma la sua funzione più importante è distribuire il ransomware Ryuk.

indicatori di compromissione (IOC) di Ryuk

Le conseguenze devastanti causate dal ransomware possono essere drammatiche, quindi è meglio prevenire un’infezione prima che si verifichi. Ciò non è sempre possibile, quindi il personale operativo deve stare attento per rilevare l’inizio di un attacco e agire immediatamente per prevenire ulteriori danni.

Poiché Ryuk può infettare un sistema attraverso molti vettori di attacco diversi, il lavoro necessario per rilevarlo è complicato.

Esistono molti Indicatori di compromissione (IoC) che consentono agli amministratori di rete e ai responsabili della sicurezza di individuare i precursori di un’infezione Ryuk. BazarLoader, un dropper, è un punto di ingresso comune per Ryuk.

Come prima menzionato, TrickBot è un altro punto d’ingresso comune per Ryuk. Uno dei suoi IoC è un file eseguibile il cui nome è composto da 12 caratteri generati in modo casuale. Una volta che TrickBot ha creato il file, ad esempio mnfjdieks.exe, si troverà in una di queste directory:

C:\Windows\

C:\Windows\SysWOW64

C:\Utenti\[NomeUtente]\AppData\Roaming

Best practice contro Ryuk

Ci sono molte cose che aziende e individui possono fare per proteggersi da Ryuk. Ecco qui di seguito alcuni esempi:

• Assicurarsi che le patch di sistemi operativi, software e firmware siano applicate;
• Usare l’autenticazione a più fattori ovunque possibile, con fattori secondari robusti. Un esempio è 2FA. Il National Institute of Standards and Technology (NIST) degli Stati Uniti consiglia di non utilizzare gli SMS come secondo fattore;
• Controllare frequentemente account, accessi, log e qualsiasi altro elemento disponibile per verificare configurazioni e attività;
• Creare regolarmente backup dei dati e archiviarli offline, soprattutto per i sistemi critici;
• Educare gli utenti, in particolare sul tema delle email di phishing, in quanto sempre in prima linea nelle operazioni di ricezione, lettura e risposta alle email.

Leggi gli altri report sul blog di Telsy