LAN sotto attacco: il ransomware Ryuk si diffonde in totale autonomia

La nuova versione del pericolosissimo ransomware Ryuk – secondo una recente indagine del CERT francese – avrebbe aggiunto nuove possibilità di propagazione all’interno delle rete locali. Implementando una procedura di installazione automatica da macchina a macchina senza necessità di intervento “umano”.

Ransomware (Adobe Stock)
Ransomware (Adobe Stock)

Apparso per la prima volta nel 2018, Ryuk è probabilmente uno dei malware più dannosi tra quelli attualmente in circolazione.

Stando ai dati di un recente rapporto della società di sicurezza Hyas, che ha tracciato 61 wallet bitcoin attribuiti a Ryuk, il malware avrebbe generato profitti per oltre 150 milioni di dollari ai gruppi criminali coinvolti.

Impiegato principalmente in attacchi contro enti pubblici, grandi aziende ma anche quelle strutture sanitarie già sotto pressione a causa della pandemia, il virus si infiltrava nelle reti informatiche interne e crittava migliaia di file, recuperabili con il solo pagamento di cospicue cifre in bitcoin elargite dalle vittime.

Ma se prima la propagazione, nelle reti locali, avveniva singolarmente e grazie a dei trojan (a loro volta installati sfruttando delle falle nei computer coinvolti) che scaricavano Ryuk nelle macchine colpite, ora il ransomware avrebbe la capacità di diffondersi autonomamente all’interno delle LAN.

Ma come funziona la nuova versione del ransomware Ryuk?

Ransomware
Ransomware

Secondo l’attento lavoro di analisi dell’ANNSI (Agence Nationale de la Sécurité des Systèmes d’Information), il CERT francese, Ryuk sarebbe in grado di auto-replicarsi effettuando una scansione dei dispositivi in rete (usando varie classi di IP locali, 192.168.x.x per esempio) su cui è possibile accedere con Windows RPC (Remote Procedure Call).

Trovato un obiettivo vulnerabile il virus andrebbe a copiare una versione del suo stesso eseguibile, il cui avvio verrebbe schedulato dallo stesso Ryuk.

A questo punto, continua il report, il malware si occuperebbe di consultare tutti gli indirizzi IP contenuti nella tabella cache ARP. Recapitando anche un pacchetto ping ICMP per ridestare i computer in standby, tramite la funzione Wake-On-Lan.

Avviate le connessioni di rete usando, per esempio, SMB (laddove disponibile) Ryuk invierebbe il suo payload – ossia se stesso – su tutte le macchine del network.

LEGGI ANCHE >>> Diritti tv, assemblea di Lega: (altra) fumata grigia

Completata la propagazione, avrebbe poi inizio la fase di crittazione dei file (con l’algoritmo AES256) su tutti i computer arruolabili. Con gli ingenti danni che ne conseguono.

POTREBBE INTERESSARTI >>> Apple, qualche indizio per individuare il nuovo malware Silver Sparrow

Ma c’è un modo per evitare la propagazione – o comunque gli inizi – dell’infezione? Il consiglio dei ricercatori del CERT francese è quello di modificare la password per l’account utente coinvolto o addirittura disabilitarlo. Per poi procedere a un doppio cambio di password del dominio KRBTGT.

Gestione cookie