Ryuk, il ransomware temibile si evolve: ora è ancora più pericoloso. Ecco perché

Ryuk, il ransomware temibile si evolve: ora è ancora più pericoloso. Ecco perché

L'ultima versione del ransomware più diffuso lo trasforma in un worm: ora può auto-replicarsi sfruttando le funzionalità Wake-on-LAN

di pubblicata il , alle 17:01 nel canale Apple
 

Ryuk è uno dei ransomware più diffusi e dannosi del web, che ha consentito ai suoi creatori e utilizzatori di raccogliere un bottino di oltre 150 milioni di dollari da coloro i quali hanno deciso di pagare il riscatto per ottenere la chiave di decifratura dei sistemi infetti.

Data la sua efficacia e l'elevato tasso di successo, Ryuk viene costantemente aggiornato ed evoluto per restare sempre un passo avanti rispetto all'attività di chi cerca di contrastarlo, tra forze dell'ordine e ricercatori di sicurezza. E l'ultima evoluzione di Ryuk desta particolare preoccupazione poiché gli consente di guadagnare caratteristiche di worm, e cioè di auto-replicarsi su una rete locale.

Ryuk si evolve: il ransomware ha ora caratteristiche di worm

La scoperta è ad opera dell'ANNSI (Agence Nationale de la Sécurité des Systèmes d'Information), l'agenzia francese per la sicurezza informatica, che spiega come la nuova versione di Ryuk possa propagarsi su di una rete utilizzando la funzionalità Wake-on-LAN che consente ai computer di essere attivati da remoto da un'altra macchina presente sulla stessa rete. Diffondendosi ad ogni macchina raggiungibile sulla rete, l'attacco di Ryuk può essere significativamente più dannoso.

E la scoperta è di particolare rilevanza se si tiene conto del fatto che Ryuk ha rappresentato un vero e proprio flagello in particolare per le strutture sanitarie e gli ospedali, aggiungendo ulteriore pressione e difficoltà a realtà che in questo momento sono in prima linea nella battaglia contro la pandemia COVID-19. E' il motivo per cui diverse realtà cedono alle richieste di riscatto, vedendola come una via più rapida per poter tornare all'operatività pur non avendo alcuna garanzia che la rete venga effettivamente ripristinata.

Ryuk viene recapitato ai bersagli normalmente come fase finale di un attacco a più fasi, che vede dapprima la compromissione delle reti sfruttando altri malware o tramite attacchi di phishing. Una volta che è stato stabilito un punto di ingresso sulla rete, il cerino viene passato nelle mani degli operatori di Ryuk che procedono con l'infezione da Ransomware. Prima della variante scoperta dall'ANNSI le varie macchine presenti sulla rete presa di mira venivano infettate singolarmente o tramite un server di comando e controllo.

E' bene osservare che spesso le compromissioni iniziali, che portano solo in fasi avanzate all'infezione con Ryuk, avvengono sfruttando vulnerabilità note per le quali esistono patch correttive che però, com'è ormai noto, spesso non vengono applicate con la giusta tempestività.

L'ANNSI sottolinea che il malware non effettua alcun controllo se una macchina sia già stata infettata - e quindi non "preannuncia" in alcun modo ciò che sta per compiere - e ciò non rende possibile porre in atto contromisure automatiche che possano prevenire l'infezione. L'unico modo, per ora, che può consentire di arginare la diffusione di Ryuk prevede il cambiamento della password o la disabilitazione dell'account utente che Ryuk sfrutta per propagarsi e poi procedere ad una doppia modifica della password del dominio KRBTGT nel contesto del protocollo di autenticazione Kerberos.

16 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sam6404 Marzo 2021, 17:07 #1

la colpa e della moneta virtuale

Invalidate le monete virtuali e vedete che si prendono subito i colpevoli quando chiedono soldi.
Axios200604 Marzo 2021, 17:17 #2
In che valuta e' richiesto il riscatto? In Bitcoin!

Che tecnologia usa Bitcoin? Blockchain!

https://www.hwupgrade.it/news/sicur...nali_95824.html
Gello04 Marzo 2021, 17:50 #3
In effetti prima delle cyptocurrency non c'erano i criminali.

Potrei anche suggerire di abolire i PC per evitare di contrarre Ransomware a monte, aka big brain time
SpyroTSK04 Marzo 2021, 18:45 #4
Originariamente inviato da: Sam64
Invalidate le monete virtuali e vedete che si prendono subito i colpevoli quando chiedono soldi.


Originariamente inviato da: Axios2006
In che valuta e' richiesto il riscatto? In Bitcoin!

Che tecnologia usa Bitcoin? Blockchain!

https://www.hwupgrade.it/news/sicur...nali_95824.html


Basta abolire le persone e TUTTO il mondo vive meglio!
Opteranium04 Marzo 2021, 20:14 #5
Originariamente inviato da: SpyroTSK
Basta abolire le persone e TUTTO il mondo vive meglio!

e avresti anche ragione, dal punto di vista ambientale l'uomo è un abominio
supertigrotto04 Marzo 2021, 22:23 #6
contro lo sho Ryuk en ci vedrei bene un had hok en!
ma se lo fanno gli americani,sicuramente è un son ikb um con lui come vero protagonista!
cavoli chi ha visto l'obrobioso film sicuramente capirà!
zbear04 Marzo 2021, 22:50 #7
Mah .... con tutti gli "straniti" che ho visto scrivere che gli antivirus sono inutili (e che immagino propagheranno questo loro credo) immagino lo sfacelo che un worm come questo possa fare .....
SpyroTSK04 Marzo 2021, 23:20 #8
Originariamente inviato da: Opteranium
e avresti anche ragione, dal punto di vista ambientale l'uomo è un abominio


Lo so, appunto per quello l'ho detto.
das04 Marzo 2021, 23:43 #9
Mah .... con tutti gli "straniti" che ho visto scrivere che gli antivirus sono inutili (e che immagino propagheranno questo loro credo) immagino lo sfacelo che un worm come questo possa fare .....


Mai usato l'antivirus installato su pc (uso virustotal su qualunque cosa scarichi, questo sì.

Al momento ho preso solo tre virus conclamati: november 17, telecom lpt1, e uno che sfruttava un bug di Windows2000 prima del service pack4.

In totale quindi tre virus e mi risparmio le noie quotidiane di chi ha l'antivirus.

Rapporto costi benefici a tutti vantaggio mio.

In ultimo: backup frequente su bluray.
Marko_00105 Marzo 2021, 08:44 #10
@supertigrotto
non ho idea a cosa lei alluda
comunque il 18 febbraio è stato violato il forum Maza
quello degli hacker d'élite di lingua russa.
a seguito dell'attacco, i dati di oltre 2000 criminali
informatici come accessi, password, e-mail degli utenti
e metodi alternativi di comunicazione con loro,
ad esempio contatti in ICQ, Skype, Yahoo e Msn",
erano liberamente disponibili
lo riporta la società di sicurezza informatica americana
Flashpoint Intel.
il messaggio sull'hacking del sito è apparso sul forum stesso,
ma secondo Flashpoint è stato tradotto in russo con l'aiuto
di un traduttore online, gli esperti ritengono che
il forum potrebbe essere stato violato da criminali
non di lingua russa, oppure potrebbe essere un tentativo
da parte degli aggressori di sviare le ricerche.
suggeriscono che dietro l'attacco informatico a Maza
potrebbero esserci gruppi anti-hacker, o cosiddetti hacker bianchi,
che lavorano su ordine delle autorità
o potrebbe anche essere violato dai concorrenti.
L'hacking dei forum degli hacker è un tipo di attacco atipico,
poiché i rischi in caso di fallimento sono molto alti,
dicono gli esperti.
-
ecco il livello di precisione che hanno le ricerche sugli
attacchi informatici altro che la sicumera dei
ricercatori dell'anglosfera

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^