Ransomware da 300.000 franchi, come funziona Ryuk



[ZEUS News - www.zeusnews.it - 02-10-2019]

emotet v1.1

Ha destato un certo scalpore la notizia di un attacco informatico a una ditta di Manno (Canton Ticino), che è stata bloccata da un ransomware, ossia da un malware che blocca i dati della vittima con una password nota soltanto all'aggressore e chiede un riscatto per sbloccare i dati e consentire di riprendere il lavoro.

Stando alle descrizioni fornite dal co-titolare della ditta, i file erano stati cifrati e rinominati con il suffisso ryuk, ed erano stati chiesti 31 bitcoin di riscatto, ossia circa 300.000 franchi.

L'azienda non ha pagato, ma si è dovuta rivolgere a specialisti per recuperare almeno parzialmente i dati e contenere il danno, acquistando nuovi server e reinstallando da zero 25 PC. Alla fine sono andate perse le ordinazioni e le conferme d'ordine di alcuni giorni, ma l'attività è ripresa.

Non sembra trattarsi di un attacco particolarmente mirato: lo stesso genere di malware che usa il suffisso ryuk ha fatto danni un po' ovunque, toccando oltre 100 organizzazioni governative e imprese nel mondo. A Lake City, in Florida, è stata colpita la pubblica amministrazione, che ha deciso di pagare ben 460.000 dollari di riscatto. Secondo alcune stime, la banda criminale che gestisce Ryuk avrebbe intascato oltre 3,7 milioni di dollari da quando ha iniziato i propri attacchi ad agosto 2018.

Ma come agisce un malware del genere? Ryuk, spiega Infosec Institute, usa dei trojan come Trickbot o Emotet per impiantarsi nel sistema informatico preso di mira: arriva per esempio via mail, sotto forma di documento Word allegato, in un messaggio che sembra provenire da collaboratori, soci d'affari o conoscenti.

Aprendo il documento, la vittima viene invitata ad attivare le macro Office, cosa assolutamente da non fare, perché le macro scaricano e installano il malware vero e proprio, per esempio Emotet, che infetta i computer della vittima sfruttando una falla di sicurezza (di solito una vulnerabilità SMB). A quel punto gli aggressori possono installare il ransomware Ryuk vero e proprio.

Questo ransomware rimane poi dormiente anche a lungo, perlustrando la rete informatica per comprenderne le vulnerabilità. Poi agisce nella maniera standard dei ransomware, cifrando i file della vittima.

Maggiori informazioni sono sul sito di MELANI, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Confederazione Svizzera, di cui riporto i consigli:

• Effettuate regolarmente una copia di sicurezza (backup) dei dati, ad esempio, sul disco rigido esterno. Utilizzate a questo scopo un programma che permetta di effettuare il backup regolarmente (schema nonno-padre-figlio [giornaliero, settimanale, mensile] / minimo due gerarchie). Gli aggressori possono eliminare o cifrare tutti i backup ai quali riescono ad accedere, pertanto è importante che la copia di sicurezza sia salvata offline, ovvero su un supporto esterno (ad esempio su un disco rigido esterno);

• Assicuratevi che i provider che offrono soluzioni cloud generino al meno due gerarchie, analogamente ai salvataggi di dati classici. L'accesso ai backup su cloud deve essere protetto dai ransomware, ad esempio tramite l'utilizzo di un secondo fattore di autenticazione per operazioni sensibili.

• Sia il sistema operativo sia tutte le applicazioni installate sul computer e sul server (ad es. Adobe Reader, Adobe Flash, Java, ecc.) devono essere costantemente aggiornati. Se disponibile, è meglio utilizzare la funzione di aggiornamento automatico;

• Controllate la qualità dei backup e esercitatene l'istallazione in modo che, nel caso di necessità, non venga perso tempo prezioso.

• Proteggete tutte le risorse accessibili da internet (ad es. terminal server, RAS, accessi VPN, ecc.) con l'autenticazione a due fattori (2FA). Mettete un Terminal server dietro un portale VPN.

• Bloccate la ricezione di allegati e-mail pericolosi nel Gateway della vostra mail. Informazioni più dettagliate possono essere trovate alla pagina seguente: https://www.govcert.ch/downloads/blocked-filetypes.txt

• Controllate che i file log della vostra soluzione antivirus non presentino irregolarità.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (ultimi 5 di 8)

:lol: :lol: :lol: Leggi tutto
7-10-2019 18:58

@Gladiator Poi c'è anche una questione di roconoscibilità del marchio: bisogna tenere sempre viva l'associazione tra i bug, specialmente di sicurezza, e Redmond. Se tu non continui la decennale tradizione di bug da esporre come trofei (come a dire noi possiamo tenere questi bug perché siamo grossi e voi dovete solo aspettare, sperare e... Leggi tutto
7-10-2019 15:49

Può essere che il problema sia dovuto alla mancanza di features non documentate, o features modificate a cazzum come de te ipotizzato o può anche più banalmente essere che assai poca gente riconosce il formato odt e quindi magari nemmeno tenta di aprirlo come allegato alla mail non sapendo che Word può aprirli. Oppure, forse, è più... Leggi tutto
6-10-2019 19:09

Anche con Office 2007 SP2 è possibile aprire i documenti formato OpenDocument. Prima è necessario aver installato il Service Pack 2 in Office 2007: link
6-10-2019 18:56

@Gladiator Ma l'Office può aprire gli odt nativamente dal 2010: https://smallbusiness.chron.com/open-odt-file-ms-word-64060.html "However, Microsoft Word 2010 and 2013 offer native support for the ODT format, so you can open the file in a similar to any other Word file." ...quindi come mai non mandano degli odt bacati da... Leggi tutto
6-10-2019 18:46

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è la tua piattaforma mobile preferita?
Windows Phone
Android
iOS (iPhone)
BlackBerry OS (Rim)
Symbian
Ubuntu o altro Linux
Bada

Mostra i risultati (4409 voti)
Novembre 2019
Apple, deciso in una riunione segreta il dispositivo che sostituirà l'iPhone
Bug in Firefox, truffatori già all'opera
Quattordicenne risolve il problema dei punti ciechi nelle auto
Ottobre 2019
Il grande database della cacca cerca volontari
Google, i domini .new diventano scorciatoie
Wind Tre, con l'anno nuovo aumentano le bollette
Omessa custodia del cellulare, sanzionata l'insegnante del post anti-Arma
Smartphone e batteria, con la modalità scura si risparmia davvero
Il Galaxy S10 si sblocca con qualsiasi impronta
Windows 7 a fine vita, Microsoft importuna coi pop-up
Linux, seria falla nel comando sudo
Il sistema operativo per sopravvivere all'Apocalisse
Pegasus, la nuova interfaccia di Windows 10
Dal papà di Android uno smartphone radicalmente diverso
Otto mesi di carcere per chi rivelò gli stipendi d'oro sindacali
Tutti gli Arretrati


web metrics