Il Ransomware Ryuk ora ha la capacità di auto-replicarsi come un worm e diffondersi in qualsiasi macchina Windows.

La nuova versione del Ransomware Ryuk riesce a comportarsi come un worm e diffondersi su reti infette, rendendola ancora più pericolosa di prima.

Ryuk è una delle forme più prolifiche di ransomware: si pensa che i cyber-criminali che lo utilizzano abbiano guadagnato oltre 150 milioni di dollari in Bitcoin, con vittime sparse in tutto il mondo.

Esattamente come gli altri ransomware, Ryuk si diffonde sulla rete, rendendo i sistemi inutilizzabili e in seguito i cyber-criminali dietro l’attacco richiedono un riscatto in cambio della chiave di decrittazione. La richiesta può arrivare anche a milioni di dollari in bitcoin. 

Ryuk fa parte di una delle famiglie di ransomware più famose, e viene regolarmente aggiornato al fine di mantenere la sua efficacia.

Ora l'Agenzia nazionale di sicurezza informatica della Francia - Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), tradotto in italiano in Agenzia nazionale per la sicurezza dei sistemi di informazione - ha spiegato come l'ultima versione di Ryuk riesce ad auto-replicarsi su una rete locale.

Il ransomware riesce a diffondersi attraverso la rete utilizzando il Wake-on-LAN, una funzione che consente ai computer Windows di essere accesi da remoto da un'altra macchina collegata sulla stessa rete. 

Il fatto di diffondersi su ogni macchina collegata alla stessa rete, rende un attacco Ryuk molto più dannoso.

Questa nuova funzionalità è stata scoperta mentre ANSSI stava rispondendo a un caso non identificato di ransomware Ryuk all'inizio di quest'anno.

Gli ospedali sembrano essere il bersaglio preferito da questi attacchi ransomware, nonostante - o forse a causa- della pandemia di COVID-19, con attacchi a reti vitali per la cura dei pazienti. Data la situazione in corso, alcuni ospedali stanno cedendo alle richieste di riscatto, convinti che questo approccio sia il modo più semplice per continuare a trattare i pazienti - anche se pagare il riscatto non garantisce un ripristino regolare della rete.

Di solito Ryuk si presenta alle vittime come fase finale di una serie di attacchi, con le reti già inizialmente compromesse da Trickbot, Emotet, Bazarloader e attacchi di phishing. Queste reti compromesse vengono poi passate o affittate alla banda Ryuk per infettarle con i ransomware.

Spesso questi attacchi sono il risultato della mancanza di un’adeguata forma di sicurezza contro queste vulnerabilità da parte delle aziende.

Pertanto, per proteggersi contro gli attacchi informatici, è indispensabile che aziende ed organizzazioni garantiscano che gli ultimi aggiornamenti di sicurezza siano applicati su tutta la rete il prima possibile, specialmente quando si ha a che fare con vulnerabilità critiche.

Dovrebbe essere eseguito un regolare backup della rete (e salvare i backup offline) in modo che, in caso di un attacco ransomware, la rete possa essere recuperata senza cedere alle richieste dei cybercriminali.

Infine, diventa fondamentale la formazione del personale sulla cosiddetta “Cybersecurity Awareness” ovvero sulla capacità di identificare ed evitare le minacce provenienti dal Cyberspace.

Su questa tematica CybersecurityUP ha sviluppato un corso in e-learning utilizzato dalle principali organizzazioni italiane ed internazionali, volto a migliorare la consapevolezza dei dipendenti in materia di sicurezza informatica rendendo più robusta la difesa delle aziende da problemi causati dal fattore umano.

Per maggiori informazioni: www.cybersecurityup.it/security-awareness

Tweet