Ryuk: come funziona il ransomware che attacca le aziende

L'Italia è il secondo Stato più attaccato dell'Unione Europea

Da quando è apparso per la prima volta nell’estate del 2018, ha colpito un notevole numero di vittime, soprattutto negli ambienti di lavoro, fulcro principale dei suoi attacchi

Nel 2019, il ransomware è stato uno dei principali protagonisti della criminalità informatica. Aziende e enti governativi di tutto il mondo sono stati colpiti da diverse tipologie di cyber attacchi che hanno utilizzato questo tipo di minacce per criptare i loro file e chiedere un riscatto. Tuttavia, c’è un sistema che è stata utilizzato in passato ma attivo ancora oggi, divenuto famoso negli ultimi anni proprio per la frequenza con cui è stato utilizzato: il suo nome è Ryuk.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Da quando è apparso per la prima volta nell’estate del 2018, ha colpito un notevole numero di vittime, soprattutto negli ambienti di lavoro, fulcro principale dei suoi attacchi.

A metà del 2019, numerose e importanti aziende spagnole hanno subito gravi attacchi da parte di hacker che si sono avvalsi di Ryuk per criptare i sistemi IT. Le imprese colpite erano di diverse dimensioni e operanti in diversi settori.

La Spagna, però, non è l’unico Paese ad aver subito tale minaccia; tra i Paesi che sono stati maggiormente colpiti da Ryuk ci sono anche Germania, Cina, Algeria e India. Negli ultimi tre anni, sono stati colpiti milioni di utenti, compromettendo una grande quantità di dati e causando notevoli perdite economiche.

Come agisce Ryuk

Come altri tipi di ransomware, una volta che Ryuk ha finito di criptare i file delle sue vittime, lascia un messaggio di riscatto in cui afferma che, per recuperare i file, devone essere effettuato un pagamento in bitcoin all’indirizzo indicato nella nota.

Leggi anche:  CyberArk lancia il primo browser sicuro focalizzato sull’identità

Panda Security ha svolto un’analisi su un campione di file e ne è emerso che Ryuk si è fatto strada nel sistema informatico attraverso una connessione remota trasformatasi in un attacco RDP. L’hacker è riuscito ad accedere in remoto. Una volta effettuato il login, ha creato un eseguibile con il campione.

Ryuk, come altri tipi di malware, cerca di rimanere nel sistema il più a lungo possibile attraverso vari sistemi. Uno di questi è creare degli eseguibili e lanciarli in segreto. Per poter criptare i file delle sue vittime, deve anche avere dei privilegi. In generale, inizia con un movimento laterale o viene lanciato da un altro malware, come Emotet o Trickbot, responsabile dell’escalation dei vantaggi prima di concederli al ransomware.

Come proteggersi da Ryuk

Ryuk utilizza una miriade di escamotage per ottenere l’ingresso nel sistema IT, insistere e crittografare i file delle sue vittime. Per questo motivo, se non si dispone di una protezione adeguata e non si seguono le linee guida appropriate, questa minaccia può essere molto difficile da contrastare.

Panda Security affronta questo problema con la soluzione Panda Adaptive Defense, che offre una combinazione di monitoraggio e protezione avanzata degli endpoint, capacità EDR e il servizio di classificazione al 100%. Il modulo si basa su un approccio zero-trust: qualsiasi processo o applicazione sconosciuta viene bloccata fino a quando non può essere analizzata. In questo modo, è in grado di bloccare qualsiasi minaccia prima che possa essere eseguita, anche gli attacchi più avanzati, come Ryuk.