Ransomware da 300.000 franchi, come funziona Ryuk



[ZEUS News - www.zeusnews.it - 02-10-2019]

emotet v1.1

Ha destato un certo scalpore la notizia di un attacco informatico a una ditta di Manno (Canton Ticino), che è stata bloccata da un ransomware, ossia da un malware che blocca i dati della vittima con una password nota soltanto all'aggressore e chiede un riscatto per sbloccare i dati e consentire di riprendere il lavoro.

Stando alle descrizioni fornite dal co-titolare della ditta, i file erano stati cifrati e rinominati con il suffisso ryuk, ed erano stati chiesti 31 bitcoin di riscatto, ossia circa 300.000 franchi.

L'azienda non ha pagato, ma si è dovuta rivolgere a specialisti per recuperare almeno parzialmente i dati e contenere il danno, acquistando nuovi server e reinstallando da zero 25 PC. Alla fine sono andate perse le ordinazioni e le conferme d'ordine di alcuni giorni, ma l'attività è ripresa.

Non sembra trattarsi di un attacco particolarmente mirato: lo stesso genere di malware che usa il suffisso ryuk ha fatto danni un po' ovunque, toccando oltre 100 organizzazioni governative e imprese nel mondo. A Lake City, in Florida, è stata colpita la pubblica amministrazione, che ha deciso di pagare ben 460.000 dollari di riscatto. Secondo alcune stime, la banda criminale che gestisce Ryuk avrebbe intascato oltre 3,7 milioni di dollari da quando ha iniziato i propri attacchi ad agosto 2018.

Ma come agisce un malware del genere? Ryuk, spiega Infosec Institute, usa dei trojan come Trickbot o Emotet per impiantarsi nel sistema informatico preso di mira: arriva per esempio via mail, sotto forma di documento Word allegato, in un messaggio che sembra provenire da collaboratori, soci d'affari o conoscenti.

Aprendo il documento, la vittima viene invitata ad attivare le macro Office, cosa assolutamente da non fare, perché le macro scaricano e installano il malware vero e proprio, per esempio Emotet, che infetta i computer della vittima sfruttando una falla di sicurezza (di solito una vulnerabilità SMB). A quel punto gli aggressori possono installare il ransomware Ryuk vero e proprio.

Questo ransomware rimane poi dormiente anche a lungo, perlustrando la rete informatica per comprenderne le vulnerabilità. Poi agisce nella maniera standard dei ransomware, cifrando i file della vittima.

Maggiori informazioni sono sul sito di MELANI, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Confederazione Svizzera, di cui riporto i consigli:

• Effettuate regolarmente una copia di sicurezza (backup) dei dati, ad esempio, sul disco rigido esterno. Utilizzate a questo scopo un programma che permetta di effettuare il backup regolarmente (schema nonno-padre-figlio [giornaliero, settimanale, mensile] / minimo due gerarchie). Gli aggressori possono eliminare o cifrare tutti i backup ai quali riescono ad accedere, pertanto è importante che la copia di sicurezza sia salvata offline, ovvero su un supporto esterno (ad esempio su un disco rigido esterno);

• Assicuratevi che i provider che offrono soluzioni cloud generino al meno due gerarchie, analogamente ai salvataggi di dati classici. L'accesso ai backup su cloud deve essere protetto dai ransomware, ad esempio tramite l'utilizzo di un secondo fattore di autenticazione per operazioni sensibili.

• Sia il sistema operativo sia tutte le applicazioni installate sul computer e sul server (ad es. Adobe Reader, Adobe Flash, Java, ecc.) devono essere costantemente aggiornati. Se disponibile, è meglio utilizzare la funzione di aggiornamento automatico;

• Controllate la qualità dei backup e esercitatene l'istallazione in modo che, nel caso di necessità, non venga perso tempo prezioso.

• Proteggete tutte le risorse accessibili da internet (ad es. terminal server, RAS, accessi VPN, ecc.) con l'autenticazione a due fattori (2FA). Mettete un Terminal server dietro un portale VPN.

• Bloccate la ricezione di allegati e-mail pericolosi nel Gateway della vostra mail. Informazioni più dettagliate possono essere trovate alla pagina seguente: https://www.govcert.ch/downloads/blocked-filetypes.txt

• Controllate che i file log della vostra soluzione antivirus non presentino irregolarità.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (ultimi 5 di 8)

:lol: :lol: :lol: Leggi tutto
7-10-2019 18:58

@Gladiator Poi c'è anche una questione di roconoscibilità del marchio: bisogna tenere sempre viva l'associazione tra i bug, specialmente di sicurezza, e Redmond. Se tu non continui la decennale tradizione di bug da esporre come trofei (come a dire noi possiamo tenere questi bug perché siamo grossi e voi dovete solo aspettare, sperare e... Leggi tutto
7-10-2019 15:49

Può essere che il problema sia dovuto alla mancanza di features non documentate, o features modificate a cazzum come de te ipotizzato o può anche più banalmente essere che assai poca gente riconosce il formato odt e quindi magari nemmeno tenta di aprirlo come allegato alla mail non sapendo che Word può aprirli. Oppure, forse, è più... Leggi tutto
6-10-2019 19:09

Anche con Office 2007 SP2 è possibile aprire i documenti formato OpenDocument. Prima è necessario aver installato il Service Pack 2 in Office 2007: link
6-10-2019 18:56

@Gladiator Ma l'Office può aprire gli odt nativamente dal 2010: https://smallbusiness.chron.com/open-odt-file-ms-word-64060.html "However, Microsoft Word 2010 and 2013 offer native support for the ODT format, so you can open the file in a similar to any other Word file." ...quindi come mai non mandano degli odt bacati da... Leggi tutto
6-10-2019 18:46

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quando guidi in città, chi non vorresti incontrare nel traffico?
La Scuola Guida
Il neopatentato
La donna che si trucca in coda
Il manager che legge un quotidiano in coda
L'imbranata: parte in terza e si spegne il motore
L'avvoltoio dei parcheggi: continua a girare fino trovarne uno
La mamma con il SUV davanti alla scuola
L'indeciso sulla strada da prendere
Il vecchio col cappello
Il camion della nettezza urbana

Mostra i risultati (2172 voti)
Gennaio 2020
Edge è morto, viva Edge (Chromium)
Il giorno della morte di Windows 7
The New Facebook, il social network cambia pelle
Samsung fa un balzo in avanti con il Galaxy S20
Dicembre 2019
Le peggiori password del 2019
Il chip che realizza la crittografia perfetta a prova di hacker
Apple al lavoro sull'iPhone satellitare
Il water inclinato che impedisce ai dipendenti di stare troppo in bagno
Se i poliziotti vendono nel dark web l'accesso alle telecamere di sicurezza
Il preservativo per i dispositivi USB
Il motorino elettrico di Xiaomi che costa come uno smartphone
Il ransomware che riavvia il PC in modalità provvisoria
Il malware fileless che attacca i Mac
Il software per ricevere gli update di Windows 7 senza pagare
Plex sfida Netflix con migliaia di film e serie TV gratis per tutti
Tutti gli Arretrati


web metrics