La nuova versione del Ransomware Ryuk ha la capacità di auto-replicarsi come un worm e diffondersi in qualsiasi macchina Windows su reti infette, rendendola quindi più pericolosa di prima.
Ryuk fa parte di una delle famiglie di ransomware più famose e rappresenta una delle forme più prolifiche di ransomware: si stima che i cyber-criminali che lo utilizzano abbiano guadagnato oltre 150 milioni di dollari in Bitcoin, con vittime sparse in tutto il mondo.
L’Agenzia nazionale di sicurezza informatica della Francia – Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), ora ha spiegato come l’ultima versione di Ryuk riesce ad auto-replicarsi su una rete locale.
Il ransomware riesce a diffondersi attraverso la rete utilizzando il Wake-on-LAN, una funzione che consente ai computer Windows di essere accesi da remoto da un’altra macchina collegata sulla stessa rete.
Il fatto di diffondersi su ogni macchina collegata alla stessa rete, rende un attacco Ryuk molto più dannoso.
Gli ospedali risultano essere il bersaglio preferito da questi attacchi ransomware, con attacchi a reti vitali per la cura dei pazienti. A causa della situazione sanitaria in corso, alcuni ospedali stanno cedendo alle richieste di riscatto, convinti che questo approccio sia il modo più semplice per continuare a trattare i pazienti, nonostante pagare il riscatto non garantisce un ripristino regolare della rete.
Solitamente Ryuk si presenta alle vittime come fase finale di una serie di attacchi, con le reti già inizialmente compromesse da Trickbot, Emotet, Bazarloader e attacchi di phishing. Queste reti compromesse vengono poi passate o affittate alla banda Ryuk per infettarle con i ransomware.
«Spesso questi attacchi sono il risultato della mancanza di un’adeguata forma di sicurezza contro queste vulnerabilità da parte delle aziende.Pertanto, per proteggersi contro gli attacchi informatici, è indispensabile che aziende ed organizzazioni garantiscano che gli ultimi aggiornamenti di sicurezza siano applicati su tutta la rete il prima possibile, specialmente quando si ha a che fare con vulnerabilità critiche.
Dovrebbe essere eseguito un regolare backup della rete (e salvare i backup offline) in modo che, in caso di un attacco ransomware, la rete possa essere recuperata senza cedere alle richieste dei cybercriminali.
Infine, diventa fondamentale la formazione del personale sulla cosiddetta “Cybersecurity Awareness” ovvero sulla capacità di identificare ed evitare le minacce provenienti dal Cyberspace», conclude Cyber Security UP.