Facebook 
Pinterest Il malizioso Ryuk: combattere il ransomware ispirato al “Death Note”
C’è ancora un elemento della criptovaluta “Wild West” nel 2023, poiché la criptovaluta rubata tramite hack e attacchi ransomware viene ancora incassata nelle principali borse di tutto il mondo. Negli ultimi anni gli attacchi ransomware si sono rivelati una redditizia mucca da soldi per i criminali informatici, con il Federal Bureau of Investigation degli Stati Uniti che stima che oltre $ 144 milioni di Bitcoin siano stati rubati tra ottobre 2013 e novembre 2023.
Una conferenza stampa tenuta dall’FBI a febbraio ha rivelato l’enorme somma pagata in riscatto agli aggressori dalle vittime che cercavano disperatamente di riottenere l’accesso ai loro sistemi e dati infetti. È interessante notare che gli aggressori hanno ricevuto la maggior parte dei riscatti in Bitcoin (BTC). Più di recente, i ricercatori hanno prelevato un campione di 63 transazioni relative a ransomware, pari a circa 5,7 milioni di dollari di fondi rubati, e hanno scoperto che Binance ha incassato oltre 1 milione di dollari in Bitcoin a seguito di una serie di transazioni su vari indirizzi di wallet.
Esistono numerose varianti di ransomware note che vengono utilizzate da diversi hacker e gruppi di criminali informatici. L’azienda di sicurezza informatica Kaspersky evidenziato l’aumento di questi tipi di attacchi che prendono di mira organizzazioni più grandi a luglio, delineando due particolari minacce malware: VHD e Hakuna MATA.
Queste particolari minacce sembrano impallidire rispetto alla quantità di criptovaluta rubata attraverso l’uso di minacce malware più grandi come il ransomware Ryuk. Quindi, ecco perché Ryuk è stato un metodo di attacco preferito e cosa si può fare per prevenire e scoraggiare gli aggressori dall’incassare i loro guadagni illeciti sulle principali piattaforme di scambio.
Il Troiano alle porte della città: Ryuk
Questi nuovi vettori di attacco menzionati nel rapporto di luglio di Kaspersky non hanno ottenuto la stessa reputazione del ransomware Ryuk. Verso la fine del 2023, Kaspersky ne ha rilasciato un altro rapporto che ha evidenziato la difficile situazione dei comuni e delle città che sono caduti preda di attacchi di ransomware. Ryuk è stato identificato dall’azienda come il veicolo preferito di attacchi contro organizzazioni più grandi, con i sistemi governativi e municipali come obiettivi principali nel 2023.
Ryuk è apparso per la prima volta nella seconda metà del 2023 e ha portato il caos mentre si diffondeva attraverso reti e sistemi di computer in tutto il mondo. Prende il nome dal popolare personaggio Ryuk della serie manga Death Note, il malware è una versione intelligente del “Re della morte”, che si diverte a consegnare una “nota di morte” al regno umano che consente al cercatore della nota di uccidere chiunque semplicemente conoscendo il loro nome e aspetto.
Il malware viene solitamente fornito con un approccio in due fasi che consente agli aggressori di esaminare prima la rete. Questo di solito inizia con un gran numero di macchine che ricevono e-mail contenenti un documento che gli utenti potrebbero scaricare involontariamente. L’allegato contiene un bot malware Emotet Trojan che si attiva se il file viene scaricato.
La seconda fase dell’attacco vede il bot Emotet comunicare con i suoi server per installare un altro malware noto come Trickbot. Questo è il software che consente agli aggressori di eseguire un’analisi della rete.
Se gli aggressori colpiscono un proverbiale vaso di miele, ovvero una rete di una grande azienda, un ufficio governativo o municipale, il ransomware Ryuk stesso verrà distribuito su diversi nodi della rete. Questo è il vettore che crittografa effettivamente i file di sistema e conserva tali dati per il riscatto. Ryuk crittografa i file locali sui singoli computer e i file condivisi su una rete.
Inoltre, Kaspersky ha spiegato che Ryuk ha anche la capacità di forzare altri computer sulla rete ad accendersi se sono in modalità di sospensione, che propaga il malware su un numero maggiore di nodi. I file che si trovano su computer su una rete che stanno dormendo in genere non sono disponibili per l’accesso, ma se il malware Ryuk è in grado di riattivare quei PC, crittograferà anche i file su quelle macchine.
Ci sono due ragioni principali per cui gli hacker cercano di attaccare le reti informatiche governative o municipali: in primo luogo, molti di questi sistemi sono protetti da assicurazioni, il che rende molto più probabile che sia possibile raggiungere un accordo monetario. In secondo luogo, queste reti più grandi sono intrinsecamente legate insieme ad altre reti di grandi dimensioni, il che può portare a un effetto di vasta portata e paralizzante. Possono essere interessati sistemi e dati che alimentano reparti completamente diversi, il che richiede una soluzione rapida, il più delle volte con conseguente pagamento agli aggressori.
Combattere l’incasso sulle borse principali
L’obiettivo finale di questi attacchi ransomware è piuttosto semplice: richiedere un pagamento elevato, tipicamente effettuato utilizzando criptovalute. Bitcoin è stata l’opzione di pagamento preferita dagli aggressori. L’uso della criptovaluta preminente come metodo di pagamento preferito ha una conseguenza non intenzionale per gli aggressori, poiché la trasparenza della blockchain di Bitcoin significa che queste transazioni possono essere tracciate sia a livello micro che a livello macro.
Relazionato: Gli attacchi ransomware che richiedono criptovalute sono purtroppo destinati a restare
Questo è esattamente ciò che hanno fatto i ricercatori e, osservando l’endpoint di queste transazioni, gli analisti possono vedere gli aggressori che utilizzano alcuni dei più grandi scambi di criptovaluta. Alla fine di agosto, è stato rivelato che oltre $ 1 milione di Bitcoin riscattato è stato incassato tramite Binance.
Il team di sicurezza di Binance ha rivelato a Cointelegraph che queste transazioni risalgono a più di 18 mesi fa e che l’exchange ha monitorato attivamente gli account pertinenti. Il team ha anche sottolineato che l’uso del suo scambio da parte degli aggressori è un sottoprodotto dell’enorme volume di criptovaluta scambiato sulla piattaforma, il che offre agli attori illeciti maggiori possibilità di mimetizzarsi nella folla. Il portavoce ha aggiunto:
“Ciò è ulteriormente complicato dal fatto che Binance ha un’ampia varietà di clienti che operano sulla sua piattaforma, con alcuni clienti che ricevono tali fondi attraverso semplici scambi peer-to-peer, e altri che ricevono attraverso servizi aziendali che sfruttano la nostra piattaforma per la liquidità.”
Cointelegraph ha contattato la società di sicurezza informatica israeliana Cymulate per sapere cosa possono fare gli scambi per impedire meglio ai criminali informatici di utilizzare le loro piattaforme per liquidare la criptovaluta rubata. Avihai Ben-Yossef, co-fondatore e chief technology officer dell’azienda, sostiene che le aziende che forniscono protezione antivirus e rilevamento e risposta degli endpoint hanno un ruolo fondamentale da svolgere nel monitoraggio delle criptovalute riscattate, dato che conoscono gli importi pagati e il rispettivo portafoglio indirizzi che ricevono i fondi riscattati. Ha aggiunto che da lì, gli scambi possono tracciare e tracciare questi pagamenti:
“Gli analisti possono raccogliere i numeri di portafoglio e controllare quanto denaro c’è in ogni portafoglio, quindi creare una somma di tutti i portafogli trovati. È importante notare che ce ne saranno sempre di più e che devi essere in grado di tracciare ciascuno di essi dai payload Ryuk creati “.
Non c’è dubbio che questo può essere un processo che richiede tempo. Tuttavia, l’uso degli indirizzi del portafoglio da parte degli aggressori per ricevere fondi riscattati consente ai team di sicurezza di tenere d’occhio il movimento di tali fondi.
Nel complesso, il 2023 è stato un anno redditizio per i criminali informatici che hanno fatto uso di attacchi ransomware, che sono stati in continua evoluzione. Ben-Yossef ha avvertito le organizzazioni e le aziende di assicurarsi di disporre della migliore sicurezza informatica per combattere l’ambiente in continua evoluzione del crimine informatico:
“Gli attacchi ransomware in generale stanno diventando sempre più sofisticati. Includono il movimento laterale, l’esfiltrazione di dati e molti altri metodi che hanno gravi conseguenze per le aziende che non pagheranno il riscatto. C’è un nuovo successore di RYUK, Conti, che è scritto in modo leggermente diverso e molto probabilmente sviluppato da altri hacker. È diventato fondamentale per le organizzazioni adattare strumenti di test di sicurezza come la simulazione di violazioni e attacchi per garantire che i loro controlli di sicurezza funzionino in modo ottimale contro le minacce emergenti “.