Ryuk Ransomware: cos’è, come si prende e come difendersi

Certamente avrete sentito parlare milioni di volte di Ransomware, Ransomware del 2019, Ransomware del 2020 e via discorrendo.

Ma vi siete mai chiesti di che cosa si tratta? O la vostra azienda è mai stata attaccata da quello che i vostri tecnici chiamano virus ransomware?

Se ne parla da più di 10 anni eppure, ancora oggi i casi di attacco Ransomware mietono vittime in tutto il mondo mettendo in crisi qualsiasi azienda.

Questa volta vogliamo spiegarvi perché se sentite parlare di Ransomware nella vostra azienda dovete seriamente preoccuparvi. Iniziamo con le basi.

Se non vogliamo che il termine Ransomware sia per voi imprenditori una nebulosa della quale non sapete il significato, è bene che qualcuno vi spieghi come stanno le cose. Perché qualcuno ha deciso di chiamarli proprio Ransomware? E che cosa sono i Ransomware?

Questi americani in realtà, hanno scelto un nome azzeccato per questo genere di attacco virus. Il termine Ransomware è scindibile in due parole: “ransom” ovvero riscatto, e “mal-ware” ovvero software progettati per danneggiare i sistemi informatici.

Ma il reale motivo per cui questi Trojan Horse sono così letali è che i ransomware sono virus informatici in grado di danneggiarvi sempre due volte.

1. La prima volta quando entrano nei vostri pc e prendono in ostaggio tutti i vostri file.
2. La seconda volta quando vi dicono che se volete riavere il vostro materiale, dovete pagare una cifra di riscatto.

Proveremo a spiegarvelo ma siamo sicuri che se mai dovreste essere attaccati da un ransomware ve ne accorgereste in totale autonomia.

L’attacco virus di un qualsiasi Ransomware è inconfondibile e letale in ogni sua fase.

Sullo sfondo del pc infettato da Ransomware comparirà certamente un avviso dal titolo: RyukReadMe.txt.

Esistono diverse versioni di Ransomware ma tutte quante vi invitano a versare una determinata somma per ottenere la password che consenta di “liberare i file”, cioè di accedervi nuovamente. Quello che viene richiesto è dunque un vero e proprio riscatto che solitamente deve essere pagato in bitcoin.

Ma veniamo al dunque…

Ryuk è uno dei ransomware 2019 più diffusi. Ryuk Ransomware  prende il nome da un personaggio dei fumetti giapponesi (dal manga Death Note in particolare). Un personaggio che viene descritto come: furbo e abile nell’arte dell’imbroglio.

Al netto di qualsiasi prefazione, Ransomware Ryuk viene nominato tra i virus più pericolosi in circolazione per un motivo semplicissimo: seleziona con cura i destinatari da infettare. Solitamente, infatti, i file infetti da Ransomware vengono inviati a un numero indiscriminato di utenti e la richiesta di riscatto non supera quasi mai i mille euro.

Ryuk Ransoware: inverte la rotta, esattamente come il suo omonimo.

Ryuk prende di mira esclusivamente aziende: in particolare aziende strutturate. Non fa distinzione tra imprese, enti ed istituti (privati e statali).

Analizzando il comportamento di questo ransomware attack, possiamo dirvi che prendendo di mira soggetti come l’azienda italiana Bonfiglioli la cifra del riscatto può divenire anche milionaria.

Ryuk compare per la prima volta nel 2018 grazie alla generosa creazione di un gruppo hacker proveniente dalla Russia: Grim Spider. A inizio del 2019, il virus era già riuscito ad estorcere oltre 4 milioni di dollari in tutto il mondo. Dopo aver colpito molte aziende all’estero, è sbarcato anche in Italia.

Il primo attacco di Ryuk Ransomware ad un’azienda italiana risale all’11 giugno 2019. L’azienda colpita, sin da subito si è detta disponibile a collaborare con le autorità: Bonfiglioli Riduttori ha dovuto bloccare la produzione industriale per più di 24 ore e molti degli uffici sono rimasti in stand-by per molto tempo.

Per debellare il virus dall’azienda Bonfiglioli ci sono voluti più di 3 giorni di isolamento e contenimento dell’infezione ransomware e i successivi 10 per mettere in completa sicurezza l’infrastruttura. Il virus Ryuk ha chiesto all’azienda un riscatto di 340 Bitcoin (oltre 2,4 milioni di dollari: cifra che non è stata pagata ma che ha spinto l’azienda a denunciare il fatto).

Il ransomware Ryuk proviene innanzitutto da e-mail affette da spear-pishing.

Le e-mail infette da Ryuk ransomware vengono inviate allo scopo di ottenere delle informazioni riservate che riguardano la situazione finanziaria, ma anche segreti industriali, militari o di stato. Solitamente vale la regola di non aprire e-mail che abbiano una dubbia provenienza, ma il pericolo ransomware prevede che le e-mail infette possano provenire anche da indirizzi che conoscete. Ryuk può essere anche nascosto in allegati o in link che vengono inviati, quindi prima di scaricare dei contenuti o di cliccare, è bene verificare con il mittente se l’e-mail sia autentica.

Esattamente come per tutti i Ransomware, scoprirai di essere stato infettato da Ryuk quando riceverai la richiesta di riscatto.

In linea di massima, solamente un esperto di cyber security è in grado di comunicarti quale di quale Ransomware sei caduto vittima (e in caso se si tratta davvero di Ryuk Ransomware) grazie al Ransomware ID.

In base alla tipologia di cryptovirus che ti infetta, l’attacco avrà caratteristiche diverse.

Tutti i Ryk file presenti sul vostro computer verranno crittografati con l’estensione .RYK, mentre il file di richiesta riscatto potrà essere sia in versione html che in versione txt: RyukReadMe.html e RyukReadMe.txt.

Come difendersi subito dagli attacchi di ransomware Ryuk 

Per difendersi dagli attacchi di Ryuk 2020 valgono innanzitutto le regole di prudenza da parte degli utenti, anche se molto spesso non sono sufficienti a scongiurare “l’infezione”.

In primis:

1. Non aprire e-mail di dubbia provenienza
2. Stai lontano dai siti non sicuri
3. Non cliccare su banner pubblicitari
4. Fate gli aggiornamenti di sistemi operativi e browser
5. Limitate al minimo l’utilizzo di supporti esterni (chiavette, CD e DVD): se non sapete da dove arrivano non inseriteli sul vostro pc

Per un’efficace protezione anti Ryuk ransomware il consiglio è quello di evitare il “faidate”.

In rete si possono trovare dei software che garantiscono protezione free. Non fidatevi. Un’azienda che vuole proteggersi dalle infezioni Ryuk deve rivolgersi a specialisti della sicurezza informatica.

Per prima cosa: pensa a mettere in sicurezza la tua impresa per quanto possibile.

Se ti accorgi di essere stato infettato da Ryuk Ransomware come primo step stacca i cavi di rete dal pc o dal device infetto: devi impedire a Ryuk di diffondersi in tutta l’azienda. Fatto questo primo passo, contatta urgentemente un’azienda cyber security, solo dei veri specialisti sapranno indicarti il percorso più sicuro per liberarti definitivamente da quest’infezione senza mettere a repentaglio la sicurezza della tua impresa.

Uno dei temi spesso sottovalutati negli attacchi informatici da Ransomware, in questo caso da Ransomware Ryuk, sono le denunce o la notifica alle autorità. Comunicare ad un ente che si occupa di sicurezza che la tua azienda è stata frodata da un cryptovirus aiuta gli esperti di settore ad avere un quadro completo della minaccia ransomware.

Nel caso di attacchi Ransomware, la cooperazione tra forze dell’ordine e vittime deve essere una colonna portante.

Ransomware Ryuk 2020 agisce in modo estremamente complesso.

Una volta entrato in rete, il virus crea un nuovo amministratore e, grazie alle sue credenziali, analizza i dati che gli permettono di comprendere se si trova all’interno del sistema di un’azienda o un’organizzazione di alto profilo. Tramite questa tecnica, il ransomware Ryuk può individuare i soggetti che gli possano garantire il pagamento di un riscatto di notevole importo.

Per difenderti da Ryuk ti occorre dunque una tecnologia complessa che sia capace di rilevare i tentativi di entrata nella rete, impedire l’analisi dei dati aziendali e in grado di bloccare la crittografia dei file. In poche parole, quello che ti serve è l’ausilio di una azienda qualificata di sicurezza informatica come Onorato Informatica, con le sue certificazioni ISO 90001 e ISO 27001, ti garantisce la massima professionalità.

Il tempo passa e ransomware Ryuk continua a mietere vittime in questo 2020 pieno di sorprese.

Sappiamo che a Marzo 2020, il ransomware ha colpito il settore legal, nella fattispecie la multinazionale Epiq Global.

L’azienda che possiede oltre 80 uffici in tutto il mondo, si prefigura come uno dei più grossi fornitori mondiali di servizi legali e studi legali, nonché istituzione finanziaria e agenzia governativa. In conclusione, possiamo considerarla una dei massimi esponenti del panorama legale mondiale. 

Epiq Global è stata colpita durante il weekend del 2 Marzo e il virus ha potuto liberamente crittografare l’intera infrastruttura informatica dell’azienda. Ryuk è riuscito a mettere offline i servizi forniti.

In particolare, il ransomware ha causato un particolare disagio rendendo impossibile per i clienti accedere ai documenti necessari per i casi giudiziari e le scadenze.