RYUK.
IT Security

RYUK. Ransomware Again!

RYUK. Ransomware Again!

Secondo un articolo sul sito Web Health IT Security, la Universal Health Services (UHS), una delle società Fortune 500 e fornitore di servizi sanitari, avrebbe interrotto i sistemi delle strutture negli Stati Uniti dopo che il ransomware Ryuk ha colpito la sua rete il 27 settembre.

RYUK. Che cos’è?

È una sofisticata minaccia ransomware che prende di mira aziende, ospedali e istituzioni governative in tutto il mondo. A differenza dei comuni ransomware che prendono di mira ogni tipo di vittima, Ryuk viene generalmente utilizzato per attacchi su misura. Gli hacker utilizzano tecniche di hacking manuale e strumenti open source per spostarsi lateralmente su una rete privata e ottenere l’accesso amministrativo. Ryuk è una versione modificata del ransomware Hermes. Sia Hermes che Ryuk sono noti per l’identificazione e la crittografia dei dispositivi di rete e per l’eliminazione delle copie shadow archiviate sugli endpoint. Il riscatto richiesto dagli hacker sarà solitamente esorbitante poiché il numero di processi manuali per avviare questo attacco è elevato. Questi processi manuali includono un’estesa mappatura della rete, raccolta di credenziali e sfruttamento diretto, che hanno luogo prima di ogni operazione.

RYUK. Come penetra in una rete.

Le diverse fasi dell’attacco ransomware Ryuk sono:

  • Intrusion
  • Lateral movement
  • Data exfiltration or impact of the attack

Esistono diversi modi in cui viene avviato un attacco. E-mail di phishing, visita di siti Web non protetti, clic su popup casuali. Ryuk è quasi sempre distribuito tramite bot (TrickBot o Emotet) che forniscono accesso diretto alla rete della vittima. Non tutte le infezioni da TrickBot portano a un attacco ransomware Ryuk. Quando lo fanno, l’attacco è letale. L’implementazione di Ryuk avviene settimane dopo che il bot si è presentato per la prima volta sulla rete. Questa lacuna consente al bot di rubare informazioni sensibili, rendendo l’azienda vulnerabile anche prima dell’attacco effettivo. L’hacker utilizza quindi i dati raccolti dal bot per identificare la potenziale rete in cui Ryuk può essere distribuito. Questo completa il ciclo di intrusione. Una volta all’interno della rete, l’hacker avvia attività di hacking manuale, come la ricognizione della rete e il movimento laterale, che aiutano a compromettere i controller di dominio e gli dà accesso a quanti più sistemi possibile.

RYUK. Encryption drill.

Una volta che gli hacker trovano un sistema adatto, due file vengono caricati in una sottocartella all’interno della directory. L’autore dell’attacco carica quindi due file all’interno della directory. I due file sono:

  • PUBBLICO: chiave pubblica RSA

Il processo di crittografia inizia in questa fase.

L’hacker esplora i file system, allegando unità per avviare la crittografia utilizzando WNetOpenEnum e WNetEnumResource. Ogni volta che un file viene crittografato, la chiave di crittografia viene distrutta. Una volta crittografato un file, viene aggiunta l’estensione .ryk. Alcuni file potrebbero non avere alcuna estensione.

Ryuk è in grado di crittografare i file ad eccezione di quelli con estensioni .dll, .lnk, .hrmlog, .ini e .exe. Sono esclusi anche i file archiviati nelle directory Windows System32, Chrome, Mozilla, Internet Explorer e Cestino. Ciò è probabilmente consentito per consentire alla vittima di utilizzare un browser per pagare il riscatto. Ryuk utilizza tecniche di crittografia avanzate. Ciò garantisce che i file non vengano recuperati facilmente. I file vengono in genere crittografati utilizzando AES-256 e le chiavi dei file vengono archiviate in un file con estensione .ryk. Le chiavi AES vengono quindi crittografate con una coppia di chiavi pubblica privata RSA-4096 controllata interamente dall’autore dell’attacco. Ryuk è considerato un attacco maligno in quanto implica la crittografia di diverse chiavi con altre chiavi. L’intero processo è fatto su misura per vittime specifiche. Ciò significa che, anche se la chiave privata di una vittima viene pubblicata, non aiuterà a decrittografare i file appartenenti a un’altra vittima.

RYUK. Perché è letale?

Finora, nessuno strumento open source è stato in grado di decrittografare i file Ryuk. Inoltre, la chiave di decrittazione fornita dall’aggressore, anche dopo il pagamento del riscatto, a volte danneggia i file. E, anche dopo il processo di ripristino, l’hacker può comunque danneggiare i file essenziali necessari per le operazioni del sistema. Come qualsiasi altro programma ransomware, Ryuk tenta di accedere ed eliminare copie shadow dei dati archiviati nel sistema per evitare il ripristino con mezzi alternativi. Contiene anche uno script kill.bat che disabilita servizi importanti, come i backup di rete e l’antivirus di Windows Defender.

RYUK. Come mitigare l’impatto.

Per difendersi con successo dagli attacchi operati dall’uomo, è essenziale seguire alcune best practice di base. Sfortunatamente, alcune aziende a volte disabilitano temporaneamente il proprio antivirus o altri controlli di sicurezza per migliorare le prestazioni del proprio sistema. Anche disabilitare i sistemi di sicurezza per un breve periodo offre agli hacker l’opportunità di entrare e interrompere la rete. In questi casi, gli hacker potevano sfruttare il malware precedentemente rilevato dall’antivirus per eseguire un nuovo attacco.

Alcuni degli altri punti deboli comunemente sfruttati in una rete sono:

  • Mancanza di protezione firewall o autenticazione a più fattori (MFA)
  • Avere credenziali di dominio deboli
  • Disabilitazione del sistema di prevenzione delle intrusioni
  • Accesso a siti Web non protetti

Alcune best practice che possono aiutare a mitigare il rischio di un attacco sono:

  • Applicare patch e aggiornare regolarmente applicazioni e programmi. Ciò garantisce che i punti di ingresso per possibili attacchi ransomware siano bloccati.
  • Assicurati che i firewall e la prevenzione delle intrusioni siano stati abilitati nella tua rete.
  • Richiedi credenziali complesse per il dominio.
  • Distribuisci una soluzione completa in grado di monitorare la tua rete e generare avvisi.

RYUK. L’aiuto di log360.

ManageEngine Log360, una soluzione SIEM (Security Information and Event Management) completa, aiuta a monitorare la rete e l’infrastruttura IT e fornisce avvisi in tempo reale e rapporti pronti all’uso. Log360 ti aiuta a:

  • Proteggere le tue piattaforme on-premise, ibride e cloud.
  • Contrastare gli attacchi alla sicurezza e proteggere i dati riservati dalle violazioni.
  • Ottenere informazioni più approfondite sull’attività di rete attraverso un controllo approfondito dei dispositivi di rete.
  • Automatizzare il processo di gestione dei log, inclusi i log dall’infrastruttura cloud pubblica.
  • Soddisfare i requisiti di conformità con facilità.
  • Implementare rapidamente le azioni post-violazione tramite ampie capacità di analisi forense.

Log360 fornisce anche informazioni dettagliate su eventi quali accesso all’applicazione, modifiche alla configurazione, accesso al firewall, modifiche al registro e così via. Il componente di gestione dei log monitora la rete e rileva potenziali minacce. La soluzione fornisce avvisi in tempo reale e genera report completi che aiutano l’amministratore a intraprendere azioni per proteggere la rete.

Prova la versione demo gratuita https://www.manageengine.it/log-management/ o contatta gli specialisti di Bludis per maggiori informazioni. Chiama lo 0643230077 o invia una e-mail a sales@bludis.it E non dimenticare di partecipare alla nostra formazione gratuita! Partecipa ai nostri webinar https://www.bludis.it/webinar/

By
Written by:

Bludis è il distributore ufficiale in Italia delle soluzioni ManageEngine. Da oltre 25 anni si occupa della distribuzione di soluzioni ICT e della fornitura di una vasta gamma di servizi a valore aggiunto per consentire il massimo livello di soddisfazione possibile per Vendor, Reseller e End-User

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

MODIFICA CONSENSI