Il ransomware Ryuk ha fatto guadagnare ai suoi operatori circa 150 milioni di dollari, secondo un recente esame delle operazioni di riciclaggio di denaro delle organizzazioni criminali che stanno dietro al malware.
Una ricerca congiunta pubblicata nelle ultime settimane dalla società di cyber security HYAS ha messo sotto la lente d’ingrandimento le operazioni “commerciali” del gruppo criminale divenuto famoso con Ryuk, uno dei ransomware più temuti dalle società di tutto il mondo (e che, tra le sue vittime, annovera anche l’azienda italiana Bonfiglioli Riduttori).
I risultati sono stupefacenti: ricavi totali stratosferici frutto di pagamenti relativi a 61 indirizzi di deposito Bitcoin tutti riconducibili al ransomware Ryuk.
Indice degli argomenti
Ransomware Ryuk: la disamina del modus operandi
Nella maggior parte dei casi, il ransomware Ryuk si avvale di un intermediario per incassare i propri “proventi”. Secondo i ricercatori, tale intermediario raccoglierebbe i pagamenti in Bitcoin eseguiti dalle vittime del ransomware e poi scambierebbe la criptovaluta in valuta fiat – la tradizionale moneta cartacea – in nome e per conto dell’organizzazione criminale.
Tali estorsioni possono arrivare a valori pari a diversi milioni di dollari, anche se solitamente la transazione media è “limitata” alle 6 cifre. Gli autori del report, dopo aver tracciato le transazioni in Bitcoin attraverso gli indirizzi noti attribuibili a Ryuk, stimano che l’impresa criminale abbia generato incassi per più di 150 milioni di dollari.
Le piattaforme di scambio
Per quanto riguarda i mercati in cui vengono eseguite nella pratica le transazioni, solitamente si tratta di exchange affidabili come Huobi e Binance, società finanziarie con quartier generale in Asia. Carter e Kremez, i due ricercatori di HYAS che hanno condotto la ricerca, sostengono che gli elevati standard in termini di sicurezza e protezione della privacy di tali mercati digitali permettono agli utenti di mantenere un certo livello di anonimato.
“Huobi e Binance sono scelte interessanti perché affermano di rispettare le leggi finanziarie internazionali e sono disposti a dare il loro contributo in caso di eventuali inchieste legali, ma tali società sono strutturate in modo che tale contributo non sia obbligatorio”, hanno detto i ricercatori.
Entrambe le piattaforme di scambio richiedono l’upload di documenti di identità per effettuare la compravendita di criptovalute con “monete di uso corrente” o per effettuare versamenti alle banche, ma non è chiaro se tali documenti vengano sottoposti a controlli automatici o manuali.
Oltre ai due exchange legittimi, il documento curato da Carter e Kremez – gli autori – ha anche scoperto l’esistenza di enormi quantitativi di criptovalute che vengono incassati utilizzando una serie di indirizzi che non sembrano essere collegati a piattaforme note.
Si tratta probabilmente di organizzazioni criminali “terze” che offrono servizi di scambio da criptovalute a valute fiat.
Le comunicazioni con le vittime
L’analisi ha anche rilevato come gli hacker che utilizzano Ryuk sfruttino tipicamente due indirizzi Protonmail unici per comunicare con ogni vittima.
“Attualmente Ryuk non utilizza chat su internet come fanno molte altre organizzazioni criminali specializzate in ransomware”, hanno osservato i ricercatori. Questo dettaglio ha garantito un certo riserbo rispetto alle modalità operative del gruppo.
Analizzando i messaggi divenuti disponibili fra vittime e hacker, è chiaro come il comportamento delle menti che stanno dietro a Ryuk non sia poi tanto diverso da quello tipico di un’organizzazione criminale “vecchio stampo”. Non viene mostrata alcuna pietà verso la situazione specifica della vittima o rispetto alla sua capacità di pagamento. Talvolta le vittime tentano di negoziare con Ryuk ma qualsiasi offerta viene rigettata con risposte nette di diniego.
Anche trovandosi davanti un’organizzazione coinvolta nella lotta alla povertà, impossibilitata a pagare il riscatto richiesto, Ryuk non ha mostrato il benché minimo segno di umanità.
La scelta mirata degli obiettivi
Carter e Kremez hanno anche trovato prove di un’attenta analisi e scelta delle possibili vittime attraverso l’utilizzo automatizzato di malware precursori che valutano il potenziale economico di un’organizzazione target.
Questi malware ricognitori vengono utilizzati per associare a ogni target un valore numerico, che rappresenta in maniera immediata una stima del potenziale di “incasso”. Fra i valori raccolti e ponderati da questo malware c’è il domain trust, valore utilizzato in SEO che indica sinteticamente l’affidabilità di un sito (e indirettamente della società a questo collegato).
Possibili contromisure al ransomware Ryuk
Nel complesso, emerge un quadro di un gruppo criminale che opera con efficienza, tenendo sempre a mente il possibile ROI di ogni operazione.
“Alcuni di questi ransomware sono gestiti da organizzazioni criminali risolute e disciplinate, che operano come una vera e propria azienda con sviluppatori, tester e reclutatori”, hanno dichiarato gli autori della ricerca su Ryuk.
Per quanto riguarda la prevenzione a questo tipo di attacchi, è bene ricordare che la maggior parte dei ransomware viene rilasciata da un dropper iniziale che funge da ariete; fra questi malware possiamo citare, tra gli altri, Emotet, Trickbot, Qakbot e Zloader.
Una difesa efficace dovrebbe quindi prevedere lo sviluppo di contromisure che evitino prima di tutto questa breccia iniziale.
I modi migliori per farlo sono:
- limitare l’esecuzione delle macro di Microsoft Office;
- assicurarsi che tutti gli Access Point da remoto siano aggiornati e richiedano l’autenticazione a due fattori (2FA);
- limitare l’uso di strumenti di accesso remoto come Citrix e Microsoft RDP solo a un elenco specifico di indirizzi IP e solo quando richiesto;
- implementare un constante monitoraggio tramite Cyber Threat Intelligence.
Non abbassiamo la guardia!
