Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il nuovo ransomware Ryuk diffuso in attacchi mirati

ransomware  Ryuk   giovedì, 23 agosto 2018

I ricercatori di sicurezza del MalwareHunterTeam hanno individuato un nuovo esemplare di ransomware, battezzato Ryuk, diffuso in attacchi mirati ad un numero limitato di vittime di alto profilo.

Al momento il vettore di diffusione di Ryuk non è noto. I ricercatori ritengono che il gruppo di cybercriminali responsabili delle infezioni stiano selezionando i loro bersagli uno alla volta mediante attacchi via Email di tipo spear-phishing o sfruttando servizi di desktop remoto compromessi.

Secondo un rapporto molto dettagliato su questa nuova minaccia pubblicato da Check Point, Ryuk appare strettamente legato ad un altro ransomware, Hermes, già attribuito al gruppo APT nordcoreano conosciuto come Lazarus Group. Sembra quindi plausibile che Ryuk sia stato sviluppato dagli stessi autori di Hermes o da qualcuno a conoscenza del codice originale di questo malware.

Ryuk si compone di un modulo con funzione di dropper e di un binario contenente il payload del ransomware. Il dropper estrae e memorizza sul computer della vittima il modulo ransomware, disponibile per piattaforme a 32 e 64 bit, in una directory predefinita, a seconda della versione del sistema operativo. Sui sistemi Windows XP o Windows 2000 il file viene creato in “\Documents and Settings\Default User\”, altrimenti in “\Utenti\Pubblica\”. Nel caso in cui il file non può essere creato in una di queste cartelle, il dropper tenta di crearlo nella sua stessa directory. Successivamente, il dropper esegue il payload appena creato e termina il proprio processo.

Una volta lanciato, Ryuk rimane dormiente per diversi minuti, dopo di che tenta di terminare più di 40 processi e più di 180 servizi diversi facenti capo a programmi antivirus, database, backup e gestori documentali. Questo ransomware diviene persistente creando una chiave di registro in HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Successivamente Ryuk enumera diversi processi di sistema nei quali inietta il proprio codice. Il codice iniettato contiene la funzionalità di cifratura dei file. Come molti altri malware di questa categoria, incluso Hermes, Ryuk utilizza una combinazione degli algoritmi AES e RSA per cifrare i file e proteggere la chiave di cifratura.

Ryuk effettua una scansione ricorsiva di tutti i dischi e le condivisioni di rete presenti nel sistema della vittima e cifra tutti i file ad eccezione di quelli contenuti in una lista di directory predefinita che include “Windows”, “Mozilla”, “Chrome”, “RecycleBin” e “Ahnlab” (quest’ultima fa riferimento ad un produttore sudcoreano di software di sicurezza e non è chiaro il motivo della sua presenza).

Questo ransomware mostra all’utente due differenti versioni della nota di riscatto, una più lunga e dettagliata e l’altra più sintetica (vedi Figure 1 e 2).

Nota di riscatto di Ryuk 1

Figura 1 – La nota di riscatto di Ryuk (versione estesa)

Nota di riscatto di Ryuk 2

Figura 2 – La nota di riscatto di Ryuk (versione sintetica)

Anche la cifra richiesta per il riscatto varia a seconda delle due note, andando da una più consistente, quasi astronomica per un malware di questo tipo, di 50 Bitcoin (circa 276.000 €) ad una più piccola, compresa tra i 15 e i 35 Bitcoin (83.000-138.000 €). Questa caratteristica lascia intendere che le infezioni vengono caratterizzate dagli attaccanti sulla base di una ricognizione della tipologia e delle caratteristiche della vittima, inclusa la potenziale disponibilità economica.

Le vittime accertate di questo ransomware, in totale una decina, sembrano essere per lo più compagnie, di cui almeno due basate negli Stati Uniti ed una in Germania. Stando a quanto riportato dagli esperti, questi attacchi avrebbero fruttato agli autori del malware circa 640.000 dollari in pochi giorni.

Al momento non sono disponibili tool per decifrare gratuitamente i file presi in ostaggio da Ryuk. Fortunatamente, la capacità di individuazione di questo ransomware da parte dei più diffusi antivirus risulta molto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

“Anatova”: nuova minaccia ransomware colpisce anche in Italia

28 gennaio 2019

I ricercatori di sicurezza di McAfee hanno individuato la nuova famiglia di ransomware Anatova, ritenuta una seria minaccia per il prossimo futuro.Leggi tutto

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto