Ryuk ransomware ha guadagnato un'enorme popolarità tra i criminali informatici. Il numero di attacchi rilevati è passato da soli 5.123 nel terzo trimestre del 3 a oltre 2019 milioni nel terzo trimestre del 67, secondo uno studio sulla sicurezza di SonicWall.
Ciò equivale a circa un terzo di tutti gli attacchi ransomware effettuati in questo trimestre. L'esplosione di Ryuk ha anche comportato un aumento del 3% del numero totale di attacchi ransomware segnalati nel terzo trimestre del 2020 rispetto allo stesso periodo del 2019.
Ryuk ransomware estremamente popolare
Ryuk è un tipo sofisticato di ransomware utilizzato contro le organizzazioni di tutto il mondo per bloccarle fuori dalle loro reti di computer e file fino al pagamento del riscatto richiesto. Ryuk crittografa tutti i file di destinazione con una forte crittografia basata su AES-256, ad eccezione dei file con estensioni dll, lnk, hrmlog, ini ed exe. Ryuk salta anche i file archiviati nelle directory System32 di Windows, Chrome, Mozilla, Internet Explorer e Cestino. Si ritiene che questo processo di eliminazione preservi la stabilità del sistema e consenta alle vittime di accedere a un browser per effettuare pagamenti di riscatto. Come molti ransomware, Ryuk tenta di eliminare le copie shadow del disco per impedire alle vittime di recuperare i propri dati con mezzi alternativi.
Riscatto medio: $ 750.000
Dopo aver infettato con successo i sistemi bersaglio, gli autori fanno richieste di riscatto per un importo pari alla capacità di pagamento stimata delle vittime. Secondo i ricercatori, il riscatto medio raccolto è di circa $ 750.000 (pagati in Bitcoin). Tuttavia, si stima che il pagamento più alto fino ad oggi sia di $ 34 milioni presentato da una società sconosciuta in cambio della chiave di decrittazione.
Il gruppo russo dietro gli attacchi è noto per l'utilizzo di tecniche di hacking manuale altamente efficaci e strumenti open source per muoversi lateralmente su reti compromesse. Ciò aiuta i criminali informatici ad accedere al maggior numero possibile di aree amministrative e a cancellare o coprire le proprie tracce prima di far esplodere il ransomware con conseguenze devastanti.
Quali obiettivi prendono di mira i criminali informatici
I criminali informatici stanno prendendo di mira una vasta gamma di settori con Ryuk. Uno degli obiettivi sono le strutture sanitarie, molte delle quali particolarmente vulnerabili. Dopotutto, gli ospedali e le strutture sanitarie spesso dispongono di numerose infrastrutture di rete obsolete che non sono adeguatamente protette da tali attacchi informatici.
Negli ultimi mesi, gli attacchi agli ospedali di tutto il mondo hanno causato disagi. Nel settembre 2020, un attacco ha paralizzato i sistemi informatici dell'ospedale universitario di Düsseldorf e ha provocato la morte di un paziente che ha dovuto essere portato in un ospedale più lontano invece che nella vicina clinica. Si ritiene inoltre che Ryuk sia dietro il recente attacco ransomware a Universal Health Services (UHS), che gestisce circa 400 ospedali e centri di assistenza negli Stati Uniti e nel Regno Unito, rendendo l'attacco uno dei più grandi attacchi informatici sanitari nella storia degli Stati Uniti. .
Cosa possono fare le organizzazioni per proteggere
Tim Bandos, Chief Information Security Officer presso Digital Guardian
L'industria della sicurezza informatica ha già adottato numerose misure per aiutare le organizzazioni a difendersi dall'ascesa di Ryuk. Ad esempio, molti fornitori di protezione avanzata dalle minacce (ATP) hanno rilasciato pacchetti di policy gratuiti che i clienti possono utilizzare per aggiornare i loro strumenti e soluzioni di sicurezza esistenti per rilevare rapidamente attività di rete sospette che indicano un potenziale attacco Ryuk. Questi includono il rilevamento della modifica in blocco di file con estensioni ransomware Ryuk note, l'eliminazione di copie shadow dei volumi e i tentativi di connessione all'infrastruttura di comando e controllo nota associata alla campagna ransomware. Inoltre, le organizzazioni possono adottare le seguenti misure di base per rafforzare le proprie difese di sicurezza informatica contro minacce come Ryuk:
Backup regolari dei dati
L'esecuzione di backup regolari di tutti i dati aziendali critici è uno dei modi migliori per ridurre al minimo l'interruzione dei flussi di lavoro in caso di attacco riuscito. Mantenere questi backup al sicuro fuori dalla rete principale impedisce che vengano eliminati o crittografati come parte di un attacco.
Mantieni aggiornate le patch di sicurezza
Come accennato, i fornitori di servizi di sicurezza informatica sono già ben informati su Ryuk e la stragrande maggioranza ha aggiornato i propri prodotti e soluzioni per rilevare le firme di Ryuk. Tuttavia, questi aggiornamenti non avranno effetto fino a quando i clienti non installeranno le patch di sicurezza più recenti sulle proprie reti. Pertanto, è fondamentale che tali patch vengano installate non appena vengono rilasciate.
Educare i dipendenti sulla sicurezza informatica
Anche le minacce informatiche avanzate spesso si affidano ancora ai vettori di attacco più basilari come le e-mail di phishing e le tattiche di social engineering. I dipendenti dovrebbero quindi ricevere regolari corsi di formazione su come riconoscere questi attacchi.
Ryuk rappresenta una forte minaccia per le organizzazioni di tutto il mondo, in particolare per le strutture sanitarie, molte delle quali sono particolarmente vulnerabili in questo momento. Pertanto, è importante che le organizzazioni valutino le protezioni esistenti, identifichino le vulnerabilità e implementino le giuste soluzioni per mitigare i rischi di questi attacchi.
Scopri di più su DigitalGuardian.com
A proposito di Digital Guardian Digital Guardian offre una sicurezza dei dati senza compromessi. La piattaforma di protezione dei dati fornita dal cloud è appositamente creata per prevenire la perdita di dati da minacce interne e aggressori esterni su sistemi operativi Windows, Mac e Linux. La piattaforma di protezione dei dati di Digital Guardian può essere implementata attraverso la rete aziendale, gli endpoint tradizionali e le applicazioni cloud. Per più di 15 anni, Digital Guardian ha consentito alle aziende a uso intensivo di dati di proteggere le loro risorse più preziose su base SaaS o servizio completamente gestito. L'esclusiva visibilità dei dati e i controlli flessibili di Digital Guardian consentono alle organizzazioni di proteggere i propri dati senza rallentare le operazioni aziendali.