Ryuk è uno dei ransomware più pericolosi in assoluto, in quanto è stato utilizzato per diversi attacchi informatici (anche contro ospedali), consentendo ai suoi autori di incassare oltre 150 milioni di dollari. In base al report pubblicato dall’agenzia francese per la sicurezza nazionale, una versione più recente di Ryuk può diffondersi tramite rete locale.
Ryuk, un ransomware con funzionalità worm
La prima apparizione di Ryuk risale ad agosto 2018. Dopo oltre due anni è ancora attivo e la versione più recente può incrementare il numero di target, sfruttando la rete LAN. Le funzionalità di base sono quelle di un ransomware tradizionale, ovvero l’applicazione della crittografia per rendere inaccessibili i file e la richiesta di un riscatto.
Ryuk ferma oltre 40 processi e 180 servizi, in particolare quelli degli antivirus e dei software di backup, per impedire il suo rilevamento e il ripristino delle copie del sistema operativo. I file dei browser non vengono cifrati per consentire alla vittima di leggere la richiesta di riscatto e di effettuare il pagamento in criptovaluta.
La nuova variante possiede capacità di auto-replicazione attraverso la rete locale. Innanzitutto legge gli indirizzi IP nella tabella ARP e invia ad ogni host un pacchetto WOL (Wake-On-LAN) per “svegliare” i computer spenti. Quindi monta tutte le risorse condivise, copia se stesso su altri computer e imposta un task (tramite l’utilità di pianificazione) per l’esecuzione ad un orario specifico.
Ryuk è parte di una famiglia di ransomware, nota come RaaS (Ransomware-as-a-Service), che i cybercriminali utilizzano da diversi anni, tra cui Emotet, TrickBot e BazarLoader.