L'ANALISI TECNICA

Il ransomware Ryuk ora si auto propaga nelle LAN: tutto quello che c’è da sapere

Ryuk ha aggiunto una nuova arma al suo arsenale: il ransomware è ora dotato di una funzionalità worm che gli consente di autoreplicarsi infettando tutti i computer connessi alla stessa LAN, senza alcun intervento da parte delle ignare vittime. Ecco tutti i dettagli e i consigli per difendersi

04 Mar 2021
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder

È stata identificata una nuova variante del ransomware Ryuk dotata di funzionalità wormable che gli consentono di diffondersi rapidamente, e senza alcun intervento da parte delle vittime, ad altri dispositivi collegati alla stessa rete locale e quindi compromettere un maggior numero di sistemi in minor tempo.

Le funzionalità wormable di Ryuk

La nuova versione di Ryuk è stata individuata dai ricercatori del CERT francese o ANSSI secondo cui il ransomware è in grado di compiere questa auto-replicazione scansionando le condivisioni di rete e poi copiando una versione unica del suo eseguibile (con il nome di file rep.exe o lan.exe) in ognuna di esse quando vengono trovate.

WHITEPAPER
Una semplice guida pratica per imparare ad usare una Virtual Private Network
Software Defined Networking
Wide Area Network

Per il momento, però, sembrerebbe che questa specifica versione di Ryuk non abbia alcun meccanismo di esclusione (tipo MUTEX) che impedisca infezioni della stessa macchina più e più volte.

La parte iniziale dell’attacco, invece, ricalca quello che è il modus operandi delle “vecchie” versioni di Ryuk.

Ryuk cripta alcuni file presenti sulla macchina e aggiunge l’estensione .RYK al nome del file. La nota di riscatto viene scritta in ogni directory contenente i file criptati. Questa può apparire in due formati:

  • un file di testo chiamato RyukReadMe.txt;
  • un file HTML chiamato RyukReadMe.html.

La persistenza di Ryuk, infine, è ottenuta impostando la chiave di registro HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunsvchost con il percorso del file di Ryuk come valore.

Come opera la funzione worm del ransomware Ryuk

Sempre secondo l’ANSSI, per diffondersi attraverso la rete locale Ryuk cerca le condivisioni di rete sull’infrastruttura IT della vittima. Per fare ciò, analizza alcuni intervalli IP privati: 10.0.0.0/8, 172.16.0.0/16 e 192.168.0.0/16. Fatto questo si diffonde su ogni macchina raggiungibile su cui sono possibili accessi di Windows Remote Procedure Call.

Come se non bastasse, l’ultimo aggiornamento permette al ransomware di leggere le tabelle ARP (Address Resolution Protocol) dei dispositivi infetti.

Queste sono molto importanti in quanto in grado di memorizzare gli indirizzi IP e gli indirizzi MAC di qualsiasi dispositivo di rete con cui le macchine comunicano.

Di fatto, il ransomware è in grado di generare ogni possibile indirizzo IP sulle reti locali e inviare un ping ICMP a ciascuno di essi oltre ad un pacchetto di wake-on-lan, in grado attivare i device in standby.

Per ogni host identificato, Ryuk tenterà poi di montare possibili condivisioni di rete utilizzando SMB, o Server Message Block.

Una volta che tutte le condivisioni di rete disponibili sono state identificate o create, il payload viene installato sui nuovi obiettivi ed è auto-eseguito utilizzando uno scheduled task, permettendo a Ryuk di crittografare il contenuto degli obiettivi e cancellare qualsiasi Volume Shadow Copies per prevenire il recupero dei file.

Questo viene creato attraverso una chiamata allo strumento di sistema schtasks.exe, tool nativo di Windows.

Una volta completa la propagazione, Ryuk procede alla vera e propria criptazione (utilizzando l’ormai onnipresente algoritmo AES256).

Come contrastare il ransomware Ryuk

Fortunatamente, secondo i ricercatori francesi, la nuova variante del ransomware Ryuk può ancora essere bloccata dall’infettare altri host sulla rete cambiando la password dell’account di dominio che viene utilizzata per la propagazione ad altri host.

Proprio come recita lo stesso rapporto dei ricercatori francesi: “Un modo per affrontare il problema potrebbe essere quello di cambiare la password o disabilitare l’account utente (a seconda dell’account utilizzato) e poi procedere a un doppio cambio di password del dominio KRBTGT. Questo indurrebbe molti disturbi sul dominio – e molto probabilmente richiederebbe molti riavvii, ma conterrebbe anche immediatamente la propagazione”.

I ricercatori, inoltre, hanno messo a disposizione tutti gli IoC per questo nuovo strain.

Chi è Ryuk

Ryuk è un gruppo ransomware-as-a-service (RaaS) individuato per la prima volta nell’agosto 2018 che ha lasciato dietro di sé una lunga lista di vittime (in Italia ha colpito la Bonfiglioli Riduttori).

Le gang RaaS sono note per l’esecuzione di programmi di affiliazione privati in cui gli affiliati possono presentare domande e curriculum per richiedere l’adesione. Ryuk è in cima alla classifica RaaS, con i suoi payload scoperti in circa uno su tre attacchi ransomware nel corso dell’ultimo anno.

Il gruppo consegna i payload come parte di attacchi multistadio utilizzando Emotet, i vettori di infezione TrickBot o il più recente BazarLoader per arrivare rapidamente nelle reti dei loro obiettivi.

Il percorso di diffusione Emotet/Trickbot sfruttato da Ryuk (Credit: CERTFR).

Il più recente BazarLoader utilizzato da Ryuk per diffondere i payload (Credit: CERTFR).

Gli affiliati di Ryuk sono stati responsabili, tra l’altro, di una massiccia ondata di attacchi al sistema sanitario statunitense a partire dal novembre 2020, chiedendo comunemente riscatti enormi: ad esempio, hanno raccolto 34 milioni di dollari da una sola vittima l’anno scorso (anche se si calcola che abbiano sfondato quota 150 milioni di ricavi totali).

Durante il terzo trimestre del 2020, gli affiliati di Ryuk sono stati osservati colpire, in media, circa 20 aziende ogni settimana.

Una vera e propria impresa del crimine che sembra aver iniziato il 2021 con la stessa “brutalità” e spregiudicatezza che aveva contraddistinto le sue azioni nel 2020 e che ha fatto proprio il mantra di tantissime aziende che competono nel mercato di oggi fatto di volatilità e grandi incertezze: chi si ferma è perduto.

Perversamente, il cyber crime ha adottato questa stessa visione nei confronti dei propri prodotti. Un malware non sarà mai perfetto né tantomeno redditizio se non è in grado di evolversi e di reagire al “mercato” (e per mercato intendiamo le contromisure prese dai team di cyber security).

Le gang del ransomware lo sanno bene. D’altronde questo tipo di infezione è ormai consolidato come protagonista indiscusso del panorama delle cyber minacce. E poche sono temibili come Ryuk.

Temibili proprio perché in grado di innovarsi e aggiornarsi di continuo.

Non abbassiamo la guardia.

17 novembre, milano
Scopri Insight e Tips & Tricks dai migliori professionisti di settore: un evento unico ti aspetta!
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr