Ransomware Ryuk
Oggigiorno gli attacchi informatici sono sempre più frequenti, in particolare quelli di tipo ransomware, denominati “ransomware” in inglese.
Questo attacco consiste, come i suoi omologhi informatici, nel sottrarre i dati personali dai computer infetti.
Si tratta quindi di un software nascosto all'interno di un'e-mail dannosa che, una volta aperta, crittografa i dati dell'utente e ne blocca l'accesso. I cybercriminali richiedono un riscatto in criptovaluta in cambio della decrittografia dei dati, da cui il nome di questo attacco.
Continuiamo la nostra indagine concentrandoci questa volta sul famigeratoransomware Ryuk. Sembra destinato a continuare a far parlare di sé, avendo già fruttato 3,7 milioni di dollari in bitcoin dalla sua comparsa.
Avvistato per la prima volta nell'agosto 2018, questo virus utilizza nuove strategie:
Questa volta, i criminali informatici non diffondonomalware su qualsiasi computer. Si infiltrano nelle reti aziendali in modo molto discreto per diversi mesi. In questo modo, individuano con precisione quale strategia adottare per attaccare gli obiettivi più interessanti e più propensi a pagare ingenti riscatti.
Secondo i ricercatori di Crowdstrike (azienda statunitense specializzata in tecnologie di sicurezza informatica), il gruppo di hacker “Grim Spider”, responsabile di questo attacco, ha utilizzato un trojan. Il trojan TrickBot si insinua nei computer presi di mira tramite un file dannoso allegato a un’e-mail di phishing.
Solitamente nascosto in un foglio Excel, questo malware prende di mira una persona specifica tramite e-mail. Se questa apre l'allegato, sblocca i contenuti attivi del documento.
Chi si nasconde dietro il ransomware Ryuk?
Il ransomware Ryuk sembrerebbe incorporare un «kill switch» che si attiva solo in base alla posizione geografica della vittima, un comportamento piuttosto comune nel mondo del crimine informatico. In questo modo, gli hacker evitano di darsi la zappa sui piedi. Inoltre, Crowdstrike avrebbe affermato di aver individuato alcuni elementi di linguaggio russo nel codice, oltre a un download sospetto proveniente da Mosca.
