È stata identificata una nuova variante del ransomware Ryuk dotata di funzionalità wormable che gli consentono di diffondersi rapidamente, e senza alcun intervento da parte delle vittime, ad altri dispositivi collegati alla stessa rete locale e quindi compromettere un maggior numero di sistemi in minor tempo.
Indice degli argomenti
Le funzionalità wormable di Ryuk
La nuova versione di Ryuk è stata individuata dai ricercatori del CERT francese o ANSSI secondo cui il ransomware è in grado di compiere questa auto-replicazione scansionando le condivisioni di rete e poi copiando una versione unica del suo eseguibile (con il nome di file rep.exe o lan.exe) in ognuna di esse quando vengono trovate.
Per il momento, però, sembrerebbe che questa specifica versione di Ryuk non abbia alcun meccanismo di esclusione (tipo MUTEX) che impedisca infezioni della stessa macchina più e più volte.
La parte iniziale dell’attacco, invece, ricalca quello che è il modus operandi delle “vecchie” versioni di Ryuk.
Ryuk cripta alcuni file presenti sulla macchina e aggiunge l’estensione .RYK al nome del file. La nota di riscatto viene scritta in ogni directory contenente i file criptati. Questa può apparire in due formati:
- un file di testo chiamato RyukReadMe.txt;
- un file HTML chiamato RyukReadMe.html.
La persistenza di Ryuk, infine, è ottenuta impostando la chiave di registro HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunsvchost con il percorso del file di Ryuk come valore.
Come opera la funzione worm del ransomware Ryuk
Sempre secondo l’ANSSI, per diffondersi attraverso la rete locale Ryuk cerca le condivisioni di rete sull’infrastruttura IT della vittima. Per fare ciò, analizza alcuni intervalli IP privati: 10.0.0.0/8, 172.16.0.0/16 e 192.168.0.0/16. Fatto questo si diffonde su ogni macchina raggiungibile su cui sono possibili accessi di Windows Remote Procedure Call.
Come se non bastasse, l’ultimo aggiornamento permette al ransomware di leggere le tabelle ARP (Address Resolution Protocol) dei dispositivi infetti.
Queste sono molto importanti in quanto in grado di memorizzare gli indirizzi IP e gli indirizzi MAC di qualsiasi dispositivo di rete con cui le macchine comunicano.
Di fatto, il ransomware è in grado di generare ogni possibile indirizzo IP sulle reti locali e inviare un ping ICMP a ciascuno di essi oltre ad un pacchetto di wake-on-lan, in grado attivare i device in standby.
Per ogni host identificato, Ryuk tenterà poi di montare possibili condivisioni di rete utilizzando SMB, o Server Message Block.
Una volta che tutte le condivisioni di rete disponibili sono state identificate o create, il payload viene installato sui nuovi obiettivi ed è auto-eseguito utilizzando uno scheduled task, permettendo a Ryuk di crittografare il contenuto degli obiettivi e cancellare qualsiasi Volume Shadow Copies per prevenire il recupero dei file.
Questo viene creato attraverso una chiamata allo strumento di sistema schtasks.exe, tool nativo di Windows.
Una volta completa la propagazione, Ryuk procede alla vera e propria criptazione (utilizzando l’ormai onnipresente algoritmo AES256).
Come contrastare il ransomware Ryuk
Fortunatamente, secondo i ricercatori francesi, la nuova variante del ransomware Ryuk può ancora essere bloccata dall’infettare altri host sulla rete cambiando la password dell’account di dominio che viene utilizzata per la propagazione ad altri host.
Proprio come recita lo stesso rapporto dei ricercatori francesi: “Un modo per affrontare il problema potrebbe essere quello di cambiare la password o disabilitare l’account utente (a seconda dell’account utilizzato) e poi procedere a un doppio cambio di password del dominio KRBTGT. Questo indurrebbe molti disturbi sul dominio – e molto probabilmente richiederebbe molti riavvii, ma conterrebbe anche immediatamente la propagazione”.
I ricercatori, inoltre, hanno messo a disposizione tutti gli IoC per questo nuovo strain.
Chi è Ryuk
Ryuk è un gruppo ransomware-as-a-service (RaaS) individuato per la prima volta nell’agosto 2018 che ha lasciato dietro di sé una lunga lista di vittime (in Italia ha colpito la Bonfiglioli Riduttori).
Le gang RaaS sono note per l’esecuzione di programmi di affiliazione privati in cui gli affiliati possono presentare domande e curriculum per richiedere l’adesione. Ryuk è in cima alla classifica RaaS, con i suoi payload scoperti in circa uno su tre attacchi ransomware nel corso dell’ultimo anno.
Il gruppo consegna i payload come parte di attacchi multistadio utilizzando Emotet, i vettori di infezione TrickBot o il più recente BazarLoader per arrivare rapidamente nelle reti dei loro obiettivi.
Il percorso di diffusione Emotet/Trickbot sfruttato da Ryuk (Credit: CERTFR).
Il più recente BazarLoader utilizzato da Ryuk per diffondere i payload (Credit: CERTFR).
Gli affiliati di Ryuk sono stati responsabili, tra l’altro, di una massiccia ondata di attacchi al sistema sanitario statunitense a partire dal novembre 2020, chiedendo comunemente riscatti enormi: ad esempio, hanno raccolto 34 milioni di dollari da una sola vittima l’anno scorso (anche se si calcola che abbiano sfondato quota 150 milioni di ricavi totali).
Durante il terzo trimestre del 2020, gli affiliati di Ryuk sono stati osservati colpire, in media, circa 20 aziende ogni settimana.
Una vera e propria impresa del crimine che sembra aver iniziato il 2021 con la stessa “brutalità” e spregiudicatezza che aveva contraddistinto le sue azioni nel 2020 e che ha fatto proprio il mantra di tantissime aziende che competono nel mercato di oggi fatto di volatilità e grandi incertezze: chi si ferma è perduto.
Perversamente, il cyber crime ha adottato questa stessa visione nei confronti dei propri prodotti. Un malware non sarà mai perfetto né tantomeno redditizio se non è in grado di evolversi e di reagire al “mercato” (e per mercato intendiamo le contromisure prese dai team di cyber security).
Le gang del ransomware lo sanno bene. D’altronde questo tipo di infezione è ormai consolidato come protagonista indiscusso del panorama delle cyber minacce. E poche sono temibili come Ryuk.
Temibili proprio perché in grado di innovarsi e aggiornarsi di continuo.
Non abbassiamo la guardia.
