Ryuk Ransomware, cos’è e come reagire

Ryuk Ransomware – Il 2019 è stato sicuramente l’anno del ransomware e non c’è dubbio che tra le molte tipologie a disposizione dei Criminal hacker nessuno risulti essere più pericoloso di Ryuk.

L’infezione, che ha fatto il suo debutto nel 2018, prende il nome da un famoso personaggio di un fumetto manga giapponese è adesso sinonimo anche di una delle varianti più dannose e pericolose dell’universo ransomware.

In questo articolo parleremo di come si propaga e come agisce Ryuk e illustreremo le fasi necessarie da attuale al fine di gestire correttamente un attacco Ryuk Ransomware e al contempo la recovery dei dati stessi, nel dettaglio si parlerà di:

Ryuk Ransomware, il modus operandi

Ryuk si diffonde attraverso attacchi mirati, con il gruppo di Criminal hacker dietro l’attacco Ryuk che prende di mira le aziende selezionate una alla volta, sia tramite e-mail di spear-phishing sia tramite connessioni RDP esposte e non sufficientemente sicure. Ryuk è anche in grado di diffondersi e muoversi lateralmente all’interno del sistema bersaglio, per causare ancora più danni.

Ryuk può essere fornito con un dropper – così chiamato perché basta gettarlo nella cartella bersaglio per avviare il malware – già confezionato e criptato, che verrà inserito nella cartella Utente (o nella cartella documenti e impostazioni se si tratta di windows XP) con un nome casuale generato tramite GetTickCount e _srand64.

Ironicamente, come i migliori software legittimi, Ryuk è disponibile sia nella versione a 32 bit sia in quella a 64 bit, che il dropper seleziona ed esegue utilizzando ShellExecuteW e IsWow64Process per ingannare l’architettura della macchina bersaglio.

Se la creazione di Ryuk non funziona in questo modo, il dropper lo creerà nella directory corrente, con lo stesso algoritmo di generazione del nome e V aggiunto all’inizio del nome del file.

Ryuk Ransomware, come avviene dal punto di vista tecnico l’infezione

Quando Ryuk viene azionato dal dropper utilizzerà taskkill per terminare determinati processi, acquisirà SeDebugPrivilege utilizzando AdjustTokenPrivileges e cercherà i processi explorer.exe, lsass.exe e csrss.exe, ma può anche mirare a qualsiasi processo.

Dopo aver trovato un processo, chiamerà VirtualAllocEx , CreateRemoteThread, VirtualFreeEx e WriteProcessMemory per caricare nel processo un codice shell, con un indirizzo hardcoded nel processo che rende instabile l’intero algoritmo.

Il codice shell, dopo, caricherà una lista di API e controllerà i suoi privilegi cercando di scrivere un file nella cartella SYSTEM usando CreateFileW.

Se questo medoto funziona il ransomware creerà poi due file nella cartella Public User di XP o Public per Windows Vista o versioni successive.

Fatto ciò, il ransomware installerà il provider AES \ RSA CryptoAPI CryptAcquireContext; genererà una coppia di chiavi RSA utilizzando CryptGenKey , e cripterà la parte privata di essa con il file PUBLIC a chiave pubblica RSA codificata, rendendo il file ID UNIQUE_ID_DO_NOT_REMOVE.

Il ransomware cercherà ogni cartella e ogni file in ogni unità, e cripterà ogni file che non ha il .exe, .hrmlog che è il log del ransomware di Hermes, e .dll; salterà anche le cartelle Windows, Mozilla, Chrome, Recycle Bin e Ahnlab anch’esse prese dal ransomware di Hermes.

Per ogni file, il ransomware genererà una chiave AES-256, usando CryptGenKey , la esporterà usando CryptExportKey e cripterà la chiave con la parte pubblica della coppia di chiavi RSA generata prima, usando CryptEncrypt. CreateFile, ReadFile e WriteFile sono tutti utilizzati per aprire, leggere e scrivere nel file. Ryuk non aggiunge alcuna estensione, ma aggiunge invece un’intestazione e un marcatore con la stringa HERMES e con la chiave crittografata AES-256 nel file. CryptDestroyKey viene utilizzato dopo per cancellare la chiave del file dalla memoria. Il ransomware poi, dopo la crittografia di ogni unità importerà WNetOpenEnum e WNetEnumResource da MPR.DLL per enumerare cartelle condivise e computer LAN, per diffondersi in esse e crittografare ogni file in esse contenuto su XP e Vista, da Windows 7 a Windows 10 utilizzerà invece GetIpNetTable, e accederà direttamente alle condivisioni.

Il ransomware creerà quindi un file BAT Windows.bat, con vari comandi vssadmin che ridimensionerà e cancellerà Shadow Copies, e lo eseguirà.

In ogni cartella verrà inserito un file RyukReadMe.html. Il nuovo file di testo invia un messaggio che informa le vittime della crittografia e le incoraggia a pagare un riscatto per ripristinare i loro dati. Ryuk utilizza algoritmi di crittografia RSA-4096 e AES-256, entrambi di livello militare.

Di seguito una schermata tipo di Ryuk:

ryuk ransomware

Ryuk Ransomware, come gestire l’attacco e fare la recovery dei dati?

Ryuk Ransomware  – Se una azienda si trova tutti i file crittografati da Ryuk l’obiettivo principale è quello di recuperare i file bloccati da questo particolare crypto ransomware.

Come comportarsi allora?


Isolare l’infezione
Prevenire la diffusione dell’infezione separando tutti i computer infetti l’uno dall’altro, dalla memoria condivisa e dalla rete.

Identificare l’infezione
Dai messaggi, prove sul computer e strumenti di identificazione, determinare con quale tipo di malware hai a che fare.

Rapporto
Riferire alle autorità per supportare e coordinare le misure per contrastare l’attacco.

Determinare le opzioni
Esistono diversi modi per gestire l’infezione. Determina quale approccio è il migliore per te.

Ripristina e aggiorna
Utilizzare backup sicuri e fonti di programmi e software per ripristinare il computer o dotare una nuova piattaforma.

Piano per prevenire la ricorrenza
Fai una valutazione di come si è verificata l’infezione e di cosa puoi fare per attuare misure che ne impediscano il ripetersi.

Ryuk Ransomware, la fase di isolazione

La prima cosa da fare quando si sospetta che un computer sia stato infettato da Ryuk è isolarlo da altre macchine e dai dispositivi di archiviazione. Scollegalo dalla rete (sia cablata che Wi-Fi) e da qualsiasi dispositivo di archiviazione esterno. I criptoworm cercano attivamente connessioni e altri computer, quindi vuoi evitare che ciò accada. Inoltre, non vuoi che il ransomware comunichi attraverso la rete con il suo centro di comando e controllo (o Command and Control Server).

Quando si parla di Ryuk, Tenete presente che potrebbe esserci più di un solo paziente zero, il che significa che il ransomware potrebbe essere entrato da più punti d’ingresso.

È necessario, quindi, trattare tutti i computer collegati alla rete con sospetto e applica misure per garantire che tutti i sistemi non siano infetti.

Identificare l’infezione

Ryuk si identificherà quando chiederà il riscatto. Esistono numerosi siti che consentono di identificare il ransomware, incluso ID Ransomware.

L’identificazione del ransomware ti aiuterà a capire se è veramente Ryuk ad averti colpito, come si propaga, quali tipi di file crittografa e forse quali sono le opzioni per la rimozione e la sanitizzazione. Ti consentirà inoltre di segnalare l’attacco alle autorità, che è raccomandato.

Ryuk Ransomware, la fase di notifica alle autorità

Ryuk Ransomware – Farai un favore a tutti segnalando tutti gli attacchi ransomware alle autorità, che si tratti di Ryuk o meno. L’FBI, per esempio, esorta le vittime di ransomware a denunciare incidenti di ransomware indipendentemente dal risultato. La segnalazione delle vittime fornisce alle forze dell’ordine una maggiore comprensione della minaccia, fornisce giustificazioni per le indagini sui ransomware e fornisce informazioni pertinenti ai casi di ransomware in corso. Conoscere di più sulle vittime e le loro esperienze con i ransomware aiuterà l’FBI a determinare chi c’è dietro gli attacchi e come stanno identificando o prendendo di mira le vittime.

Ryuk Ransomware, scegli con cura le tue mosse

Le tue opzioni se colpito da Ryuk non sono molte, puoi infatti:

  • Pagare il riscatto
  • Provare a rimuovere il malware
  • Pulire i sistemi e reinstallarli da zero

In ogni caso, è generalmente considerata una cattiva idea pagare il riscatto. Pagare il riscatto incoraggia più ransomware e in molti casi lo sblocco dei file crittografati non ha esito positivo.

Anche se decidi di pagare, è molto probabile che non recupererai i tuoi dati .

Ciò lascia altre due opzioni: rimuovere il malware e ripristinare selettivamente il sistema o cancellare tutto e installarlo da zero.

Ripristino di sistema o Fresh Start

Esiste certamente la possibilità di provare a rimuovere il malware dai tuoi sistemi o cancellare i tuoi sistemi e reinstallare da backup sicuri e fonti pulite di Sistemi operativi e applicazioni.

Sbarazzarsi dell’infezione

Esistono siti Internet e pacchetti software che affermano di essere in grado di rimuovere i ransomware dai sistemi.

È possibile discutere se sia possibile rimuovere completamente e correttamente un’infezione. Non esiste un decryptor ad hoc funzionante per tutti i ransomware conosciuti, e sfortunatamente è vero che più è nuovo il ransomware, più è probabile che sia sofisticato e meno tempo i bravi ragazzi hanno dovuto sviluppare un decryptor.

È meglio cancellare completamente tutti i sistemi

Il modo più sicuro per essere certi che malware o ransomware siano stati rimossi da un sistema è quello di eseguire una cancellazione completa di tutti i dispositivi di archiviazione e reinstallare tutto da zero. La formattazione dei dischi rigidi nel sistema assicurerà che non rimangano residui del malware.

Se hai seguito una solida strategia di backup, dovresti avere copie di tutti i tuoi documenti, supporti e file importanti fino al momento dell’infezione.

Assicurati di determinare la data di infezione, come è possibile dalle date dei file di malware, i messaggi e altre informazioni che hai scoperto sul funzionamento del tuo malware specifico. Considera che un’infezione potrebbe essere stata inattiva nel tuo sistema per un po’ prima di attivarsi e apportare modifiche significative al tuo sistema. Identificare e conoscere il particolare malware che ha attaccato i tuoi sistemi ti permetterà di capire come funziona quel malware e quale dovrebbe essere la tua migliore strategia per ripristinare i tuoi sistemi.

Selezionare un backup o backup eseguiti prima della data dell’infezione ransomware iniziale. Un buon programma di backup consente di tornare indietro nel tempo e specificare la data prima della quale si desidera ripristinare i file.

Se hai seguito una buona politica di backup con backup sia locale che esterno, dovresti essere in grado di utilizzare copie di backup che sei sicuro di non essere collegato alla rete dopo il momento dell’attacco e quindi protetto dalle infezioni. Le unità di backup completamente disconnesse dovrebbero essere sicure, così come i file archiviati nel cloud.

I ripristini di sistema non sono la migliore strategia per gestire ransomware e malware

Potresti essere tentato di utilizzare un punto di Ripristino configurazione di sistema per riavviare il sistema.

Ripristino configurazione di sistema non è una buona soluzione per la rimozione di virus o altro malware. Poiché il software dannoso viene in genere sepolto in tutti i tipi di aree di un sistema, non è possibile fare affidamento sul fatto che Ripristino configurazione di sistema sia in grado di sradicare tutte le parti del malware.

Inoltre, Ripristino configurazione di sistema non salva le vecchie copie dei file personali come parte della sua istantanea. Inoltre non eliminerà o sostituirà nessuno dei tuoi file personali quando esegui un ripristino, quindi non contare su Ripristino configurazione di sistema perché funzioni come un backup. Dovresti sempre disporre di una buona procedura di backup per tutti i tuoi file personali.

I backup locali possono anche essere crittografati dal ransomware. Se la tua soluzione di backup è locale e collegata a un computer che viene colpito da ransomware, è probabile che i tuoi backup vengano crittografati insieme al resto dei tuoi dati.

Con una buona soluzione di backup isolata dai computer locali, è possibile ottenere facilmente i file necessari per far funzionare nuovamente il sistema. Hai la flessibilità per determinare quali file ripristinare, da quale data desideri ripristinare e come ottenere i file necessari per ripristinare il sistema .

Dovrai reinstallare il sistema operativo e le applicazioni software dal supporto di origine o da Internet. Se hai gestito le credenziali del tuo account e del software in modo corretto, dovresti essere in grado di riattivare gli account per le applicazioni che lo richiedono. Se si utilizza un gestore di password, come 1Password o LastPass , per memorizzare numeri di account, nomi utente, password e altre informazioni essenziali, è possibile accedere a tali informazioni tramite la loro interfaccia Web o applicazioni mobili. Devi solo essere sicuro di conoscere ancora il nome utente e la password principali per ottenere l’accesso a questi programmi.

Ryuk ransomware, prevenire è meglio che curare

Ryuk ransomware – Un attacco di Ruyk può essere devastante per un’azienda. File preziosi e insostituibili possono andare persi e possono essere necessarie decine o addirittura centinaia di ore di sforzo per sbarazzarsi dell’infezione e far funzionare nuovamente i sistemi.

Per essere preparati, devi sapere come Ryuk può entrare nel tuo sistema, insomma devi conoscere i vettori d’attacco.

I vettori di attacco possono essere divisi in due tipi: vettori di attacco umano e vettori di attacco macchina.

Come accennato in apertura, Ryuk si appoggia spesso all’aiuto degli umani (aiuto inconsapevole ovviamente) per entrare nei computer, questa tecnica è nota come Social Engineering.

I vettori di attacco umano comuni includono:

Phishing

Il phishing utilizza e-mail false per indurre le persone a fare clic su un collegamento o ad aprire un allegato che trasporta un payload di malware. L’email potrebbe essere inviata a una o più persone all’interno di un’organizzazione. A volte le email sono mirate per farle sembrare più credibili. Gli aggressori si prendono il tempo di ricercare i singoli obiettivi e le proprie attività in modo che la loro e-mail appaia legittima. Il mittente potrebbe essere falso per essere qualcuno noto al destinatario o l’oggetto rilevante per il lavoro del destinatario. Se personalizzata in questo modo, la tecnica è nota come spear phishing.

SMSishing

SMSishing, contrazione di SMS phishing, utilizza messaggi di testo per indurre i destinatari a navigare verso un sito o inserire informazioni personali sul proprio dispositivo. Approcci comuni utilizzano messaggi di autenticazione o messaggi che sembrano provenire da un fornitore di servizi finanziario o di altro tipo. Alcuni ransomware di SMSishing tentano di propagarsi inviandosi a tutti i contatti nella rubrica del dispositivo.

Vishing

In modo simile a e-mail e SMS, Vishing utilizza la posta vocale per ingannare la vittima. Al destinatario della segreteria viene richiesto di chiamare un numero che viene spesso falsificato per apparire legittimo. Se la vittima chiama il numero, viene intrapreso una serie di azioni per correggere alcuni problemi inventati. Le istruzioni includono la possibilità che la vittima installi malware sul proprio computer. I criminali informatici possono apparire professionali e utilizzare effetti sonori e altri mezzi per apparire legittimi. Come il phishing di spear, il vishing può essere indirizzato a un individuo o a una società utilizzando le informazioni raccolte dai criminali informatici.

Social media

I social media possono essere un potente veicolo per convincere una vittima ad aprire un’immagine scaricata da un sito di social media o intraprendere altre azioni compromettenti. Il corriere potrebbe essere musica, video o altri contenuti attivi che una volta aperti infettano il sistema dell’utente.

Instant Messaging

I client di messaggistica istantanea possono essere hackerati dai criminali informatici e utilizzati per distribuire malware all’elenco dei contatti della vittima. Questa tecnica era uno dei metodi utilizzati per distribuire il ransomware Locky a destinatari ignari.

Ryuk Ransomware, i Vettori di attacco “hard”

L’altro tipo di vettore di attacco è machine to machine. Gli esseri umani sono coinvolti in una certa misura in quanto potrebbero facilitare l’attacco visitando un sito Web o utilizzando un computer, ma il processo di attacco è automatizzato e non richiede alcuna cooperazione umana esplicita per invadere il tuo computer o la tua rete.

Drive-By

Drive-by ha questo moniker perché tutto ciò che serve alla vittima per essere infetto è aprire una pagina web con codice dannoso in un’immagine o contenuto attivo.

Vulnerabilità del sistema

I criminali informatici apprendono le vulnerabilità di sistemi specifici e sfruttano tali vulnerabilità per irrompere e installare ransomware sulla macchina. Ciò accade più spesso ai sistemi che non dispongono di patch con le ultime versioni di sicurezza.

Malvertising

il malvertising è come il drive-by, ma utilizza annunci per distribuire malware. Questi annunci potrebbero essere posizionati su motori di ricerca o siti di social media popolari per raggiungere un vasto pubblico (spesso sono dei banner ads molto fuorvianti) . Un host comune per il malvertising sono siti per soli adulti.

Propagazione della rete

Tuttavia, un pezzo di ransomware entra in un sistema, una volta che è in grado di cercare condivisioni di file e computer accessibili e diffondersi attraverso la rete o il sistema condiviso. Anche le aziende senza un’adeguata sicurezza potrebbero avere il proprio file server aziendale e altre condivisioni di rete infette. Da lì, il malware si diffonderà il più possibile finché non finirà i sistemi accessibili o incontrerà barriere di sicurezza.

Propagazione tramite servizi condivisi

Servizi online come la condivisione di file o i servizi di sincronizzazione possono essere utilizzati per propagare il ransomware. Se il ransomware finisce in una cartella condivisa su una macchina domestica, l’infezione può essere trasferita in un ufficio o su altre macchine connesse. Se il servizio è impostato per la sincronizzazione automatica quando i file vengono aggiunti o modificati, come lo sono molti servizi di condivisione di file, un virus dannoso può essere ampiamente propagato in pochi millisecondi.

È importante fare attenzione e considerare le impostazioni utilizzate per i sistemi che si sincronizzano automaticamente e prestare attenzione alla condivisione di file con altri a meno che non si sappia esattamente da dove provengono.

Gestione di un Cyber Incident 

Ovviamente se la situazione diventa complicata non c’è modo migliore per risolvere il problema che affidarsi al servizio di Cyber Data Breach Incident Response di Swascan. Questo ha lo scopo di :

  • Gestire l’Incident e supportare l’azienda nel ripristino delle attività
  • Analizzare la natura della violazione
  • Identificare le evidenze,prove e informazioni tecniche
  • Determinare la tipologia dei dati compromessi
  • Stabilire quali dati sono stati compromessi
  • Formalizzare lo stato delle misure di sicurezza in essere
  • Predisporre il Piano di Remediation

Nello specifico il servizio di Cyber Data Breach Incident Response permette di essere compliance alla normativa vigente di Data Protection.

Cyber Data Breach Incident Response

Il servizio di Cyber Data Breach Incident Response di Swascan è stato strutturato per supportare le Aziende in termini di obblighi legislativi e di Business Continuity con un approccio:

  • Coerente
  • Sostenibile
  • Efficace
  • Efficiente

Le Fasi

L’attività di Cyber Security Data Breach Incident Response è strutturato in 4 fasi:

  1. Cyber Security Investigation
  2. Forensic Investigation
  3. Contingency Plan:
    1. ICT Integrity Checkup
    2. Vulnerability CheckupReporting

Ed infine reporting.

Le 4 fasi del percorso

Cyber Security Investigation

L’attività di Cyber Security Investigation ha l’obiettivo di:

– Identificare i vettori di attacco

– Determinare il punto di ingresso dell’attacco

– Stabilire i target vittima dell’attacco

– Specificare la tecnica e metodologia utilizzata

L’attività verrà condotta da un esperto di Cyber Security and Ethical Hacker del Cyber Research Team di Swascan.

Forensic Investigation

L’attività di Forensic Investigation ha lo scopo e obiettivo di “cristallizzare” legalmente le evidenze e prove acquisite dai computer e altri dispositivi digitali. L’obiettivo è di esaminare i dispositivi digitali seguendo processi di analisi forense al fine di identificare, preservare, recuperare e analizzare i dati raccolti. Lo scopo di un’analisi forense è:

  • il recupero delle informazioni e
  • la ricostruzione di una serie di eventi.

L’attività verrà svolta da un Digital Forensic Expert con esperienza decennale nel settore.

Contingency Plan

L’attività di Contingency Plan ha l’obiettivo di:

  • verificare l’integrità dell’infrastruttura
  • preservare l’integrità dell’infrastruttura

attraverso:

Contingency Plan: ICT INTEGRITY CHECKUP

Ha l’obiettivo verificare l’integrità dell’infrastruttura. L’attività consiste nel controllare e verificare se all’interno dell’infrastruttura non siano presenti elementi malevoli installati dagli attaccanti. Nello specifico viene condotto:

  • Asset Inventory
  • Malware Assessment
  • ICT Assessment

Contingency Plan: Vulnerability Checkup

Il modulo Vulnerability Checkup ha lo scopo di preservare l’integrità dell’infrastruttura informatica attraverso le attività di:

L’analisi delle vulnerabilità ha l’obiettivo di identificare e determinare le eventuali vulnerabilità sfruttate da terze parti per un possibile attacco a livello di infrastruttura esposta su internet e infrastruttura interna.

Nello specifico verrà condotta una attività di:

– Penetration Test sull’infrastruttura Esterna

– Vulnerability Assessment e Network Scan sull’infrastruttura interna

Reporting

La fase di reporting consiste nel redigere la documentazione relativa alle informazioni necessarie per la completa e corretta compilazione della notifica del Garante oltre a fornire indicazioni di dettaglio per la corretta Security Governance aziendale.

Verifica i livelli di sicurezza della tua infrastrutura con i servizi di  security assessment   e security management di Swascan

Domain Threat Intelligence: information is key!
Metodologia Penetration test: la guida step by step

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.