EVRAZ, uno dei maggiori produttori mondiali di acciaio e operazioni minerarie, è stato colpito da un ransomware, secondo quanto dichiarato da una fonte interna dell’azienda a ZDNet a inizio marzo. 

L’infezione è stata ricondotta al ceppo Ryuk, un tipo di cripto-ransomware che utilizza la crittografia dei file per bloccare l’accesso a un sistema, dispositivo o file fino al pagamento di un riscatto. Ryuk viene spesso installato su un sistema da altri malware, in particolare TrickBot, o ottiene l’accesso attraverso un sistema di contollo del desktop da remoto. Ryuk richiede il pagamento tramite criptovaluta Bitcoin di una certa somma: la richiesta di riscatto è in genere tra 15-50 Bitcoin, che equivalgono a circa centomila – cinquecentomila dollari, a seconda del tasso di conversione della moneta. Una volta insediatosi su un sistema, Ryuk si diffonde attraverso la rete a questo collegata usando PsExec e simili, cercando di infettare quanti più endpoint e server possibili. Quindi il malware avvia il processo di crittografia, puntando in particolare ai backup, crittografandoli con successo nella maggior parte dei casi. 

Ryuk è spesso l’ultimo pezzo di malware rilasciato in un ciclo di infezione che inizia con Emotet o TrickBot.

Le infezioni multiple da malware possono complicare notevolmente il processo di recupero dei sistemi colpiti: per esempio, MS-ISAC ha recentemente documentato un incidente in cui TrickBot ha disabilitato correttamente il programma di antivirus dell’endpoint aziendale, si è diffuso in tutta la rete e ha finito per infettare centinaia di endpoint e più server a questa collegati. Poiché TrickBot è un trojan bancario, probabilmente ha raccolto ed esfiltrato le informazioni relative ai conti correnti dei sistemi infetti prima di diffondere l’infezione ransomware Ryuk in tutta la rete, crittografando i dati e i backup dell'organizzazione, lasciando le note di riscatto dei dati sui computer accessibili agli utenti. 

Tornando al caso relativo a EVRAZ, l’infezione ha colpito prevalentemente le filiali nordamericane dell’azienda, principalmente impianti di produzione di acciaio in Canada e negli Stati Uniti. La produzione è stata interrotta nella maggior parte degli impianti, secondo quanto riferito dalla fonte, e il personale IT dell’azienda sta tuttora lavorando per contenere l’infezione e prevenirne la diffusione ulteriore. Secondo il sito web di EVRAZ, la compagnia dà lavoro a oltre 1.400 persone negli Stati Uniti e 1.800 in Canada. EVRAZ è di proprietà di Roman Abramovich, oligarca e miliardario russo, noto principalmente per essere il patron del Chelsea, una popolare squadra di calcio britannica della città di Londra. La filiale nordamericana della società non ha ancora risposto alle richieste di commenti. 

EVRAZ è solo l’ultima vittima in una lunga lista di medie e grandi imprese multinazionali colpite da varie infezioni da ransomware. Tra i bersagli degni di nota la società Forbes 500 EMCOR, l’appaltatore DOD EWA, lo studio legale Epiq Global, l’azienda ferroviaria del Nord America Railworks, la grande catena di distributori di benzina INA Group, il produttore di componenti agricole Visser, l’appaltatore per la difesa CPI e l’ISP francese e il fornitore di cloud Bretagne Télécom; la lista è destinata ad allungarsi nei prossimi mesi. 

Tweet