Ryuk ransomware: cos’è e come difendersi

Scritto da Webristle

Feb 23, 2021

Febbraio 23, 2021

Probabilmente, avete sentito parlare di Ryuk, ma cosa è e perché così fa tanta paura?

Tanto per cominciare, Ryuk è il nome di un nuovo ransomware, che mira al furto di documenti.
I ransomware sono diffusi da ormai un decennio, abbiamo visto altri post a riguardo, ma continuano a creare danni ai privati e, in modo particolare, alle aziende.
L’attacco virus conosciuto come ransomware prende il nome dall’unione di due termini: ransom, ossia riscatto, e malware, ossia quei software pensati appositamente per danneggiare i sistemi informatici in cui si intrufolano.
Il vero pericolo rappresentato dai ransomware consiste nel fatto che si tratta di virus capaci di produrre un duplice danno: il primo lo crea quando entra nel pc e prende in ostaggio i file in essi contenuti; il secondo si presenta quando vi ricatta tramite richiesta di pagamento di una somma per riavere i vostri documenti.
Accorgersi di un attacco ransomware è semplice: una volta infettato il pc, sul suo desktop apparirà un avviso o un file del tipo “RyukReadMe.txt”. Insomma, se siete stati infettati da un ransomware, è impossibile avere dubbi: ve ne accorgerete subito.

 

Ryuk Ransomware

Esistono diverse versioni di ransomware e ognuna di esse invita il proprietario del computer infettato a versare una somma precisa, così da ottenere la password che gli permetterà di riavere di nuovo accesso ai propri file.
Si tratta di un vero e proprio riscatto, per il quale, in genere, si richiede il pagamento tramite bitcoin.
Nato nel 2018 e creato da un gruppo di hacker russo, i Grim Spider, il Ryuk è oggi il ransomware più diffuso dal 2019 e deve il suo nome ad un personaggio dei fumetti giapponesi, in particolare di Death Note, in cui Ryuk viene descritto come un personaggio furbo e abile ad imbrogliare il prossimo. Proprio come il ransomware di cui parliamo.
Già nel 2019, il virus è riuscito ad ottenere più di 4 milioni di dollari, colpendo aziende in tutto il mondo, italiane ed estere.
Nello specifico, il suo primo attacco italiano è avvenuto il giorno 11 giugno 2019 e ha visto l’azienda colpita costretta a bloccare la propria produzione per più di 24 ore e a fare i conti con gli uffici praticamente paralizzati nelle proprie funzioni.
Tuttora, Ryuk è in piena attività: basti pensare che a marzo 2020 ha iniziato a colpire il settore legal, cominciando dalla multinazionale Epiq Global, uno dei maggiori fornitori mondiali di servizi e studi legali, con più di 80 uffici in tutto il mondo.
Il virus ne ha crittografato l’intera infrastruttura aziendale, mettendo offline tutti i suoi servizi e rendendo impossibile ai clienti l’accesso ai documenti necessari per i casi giudiziari e per il rispetto delle scadenze.
È in assoluto uno dei virus più pericolosi, in quanto seleziona in modo preciso le vittime che intende attaccare.
Infatti, se di solito i file infetti da ransomware sono inviati ad una serie indifferenziata di utenti con richieste di riscatto quasi sempre inferiori ai mille euro, la situazione è molto diversa nel caso di Ryuk. Questo ransomware prende di mira solo aziende ben strutturate, imprese, enti ed istituti, sia di natura privata che statale, con richieste di riscatto che arrivano anche a somme milionarie.

 

Ryuk come si prende

Il ransomware proviene da email affette da spear pishing, inviate per ottenere informazioni riservate e relative alla situazione finanziaria o a segreti industriali, anche militari o di Stato.
In genere, si consiglia di non aprire email di provenienza dubbia, ma questo ransomware riesce a introdursi anche attraverso email infette, che apparentemente provengono anche da indirizzi conosciuti dal destinatario: mail apparentemente affidabili, in sostanza.
In altri casi, Ryuk può essere nascosto anche in allegati o in link, per cui è bene verificare la provenienza e il mittente della mail e controllarne l’autenticità prima di scaricare contenuti o di cliccare su qualche link.

 

Ryuk cosa causa

In genere, solo un esperto in materia di cyber security può individuare quale ransomware vi abbia colpiti, servendosi del ransomware ID. Le conseguenze di un attacco possono variare in base al tipo di cryptovirus che vi infetta.
Una volta entrato in rete, il ransomware crea un nuovo amministratore e analizza i dati attraverso le sue credenziali, in modo da capire se sia all’interno di un sistema aziendale o di un’organizzazione di alto profilo: è così che Ryuk individua i soggetti che possono garantire il pagamento di elevati importi.
In seguito ad un attacco, i file presenti sul computer vengono crittografati con estensione .RYK e i file contenenti la richiesta di riscatto potranno avere estensione html o txt, ad esempio RyukReadMe.html e RyukReadMe.txt.

 

Ryuk come difendersi

Per respingere un attacco Ryuk e difendersi in modo adeguato, prima di tutto, dovete seguire le regole di prudenza da parte degli utenti:

  • non aprire email sospette o dubbie;
  • non utilizzate siti poco sicuri;
  • limitate l’utilizzo di supporti esterni ed evitate quelli di cui non conoscete la provenienza;
  • aggiornate i sistemi operativi e il browser in modo periodico;
  • non cliccate su banner pubblicitari.

Tuttavia, si deve riconoscere che non sempre queste precauzioni bastano a tenervi al riparo al 100% da eventuali infezioni.
Fate attenzione a quei software promossi su internet che vi promettono protezione gratuita dai ransomware.
La soluzione più efficace per difendervi da infezioni ransomware e Ryuk è quella di ricorrere a specialisti di cyber security, mettendo in sicurezza la vostra attività.
Se vi rendete conto di essere stati infettati, staccate i cavi di rede dal pc o dal dispositivo infetto, così da impedire al ransomware di diffondersi in tutto il sistema aziendale.
Subito dopo, contattate un’azienda di sicurezza informatica, che metterà un tecnico a vostra disposizione per indicarvi il percorso più sicuro per liberarvi dall’attacco e ripristinare la sicurezza dell’azienda.
Per difendervi da Ryuk, vi occorre una tecnologia complessa ed efficace quanto il ransomware stesso, che riesca a individuare i tentativi di ingresso nella rete, a impedire l’analisi dei dati e a bloccare la crittografia dei file.
Inoltre, vi consigliamo di rivolgervi alle autorità e di denunciare o notificare quanto accaduto. Infatti, avvisare un ente che si occupa della sicurezza di un attacco di un cryptovirus alla vostra azienda permette agli addetti ai lavori di avere un quadro complessivo e reale della minaccia in corso.
La collaborazione tra forze dell’ordine e vittime è fondamentale in questi casi.

 

Noi di Webristle supportiamo ogni giorno i nostri clienti con servizi di sicurezza avanzati e su misura. I nostri tecnici sono pronti per aiutarti nella creazione di un sistema di difesa all’altezza delle aspettative. Non è consigliato aspettare che sia troppo tardi: CONTATTACI

Articoli correlati

Malware Flubot: cos’è e come difendersi

Di recente, ha fatto il suo ingresso tra le minacce informatiche un nuovo malware: il Flubot. La diffusione del malware che prende il nome di Flubot, infatti, è abbastanza recente e ancora in atto in Italia e in molti paesi europei. Il Flubot è un trojan bancario,...

Social media e sicurezza del profilo aziendale

L'ultimo episodio di furto di dati registrato su un social media è quello avvenuto a giugno su Linkedin. Ormai è cosa nota: i social media sono un’opportunità e un valido strumento per gli utenti, ma un canale privilegiato per i cyber criminali che vogliano ottenere...

Cybersecurity: cos’è e come proteggersi dalle minacce

In ambito aziendale, si parla spesso di cybersecurity o di sicurezza informatica. La cybersecurity è fondamentale nella conduzione di un’azienda o di un business ed è un’attività di centrale importanza per la prevenzione di eventuali minacce. La sensibilità per la...

Iscriviti alla nostra Newsletter

Ricevi consigli utili su come mantenerti sicuro nel mondo digitale una volta al mese!