3,7 milioni di dollari generati in pochi mesi, da agosto ad oggi: è il bottino accumulato dagli autori di Ryuk, un ransomware che a differenza di altri suoi simili colpisce i sistemi delle vittime in modo selettivo, entrando in azione solo ed esclusivamente se la macchina infetta appartiene a un’azienda con grande disponibilità economica e con la possibilità di pagare il riscatto.
Il ransomware Ryuk
Tutto ha inizio con la diffusione di un malware identificato come TrickBot, diffuso con metodi tradizionali come un eseguibile corrotto inviato tramite email. Una volta installato, il codice malevolo rimane dormiente per un periodo che può arrivare fino a un anno, raccogliendo informazioni sul computer così da capire se appartiene al network di una società che può permettersi di mettere mano al portafogli o meno. In caso di esito positivo, installa Ryuk e blocca completamente l’accesso ai dati, chiedendo al malcapitato una somma per rientrare in possesso dei documenti.
Una tecnica che ha già fatto vittime importanti, soprattutto tra la stampa d’oltreoceano: LA Times, San Diego Union Tribune, New York Times e Wall Street Journal. I 3,7 milioni di dollari pagati in riscatto, stando ai report di CrowdStrike e FireEye, sono stati versati in Bitcoin mediante un totale pari a 52 transazioni.
Il primo è stato SamSam
Non è la prima volta che un ransomware agisce in modo simile, raccogliendo informazioni sulla disponibilità economica del suo target prima di effettuare la richiesta di pagamento: il primo attacco di questo tipo registrato è quello che all’inizio del 2018 ha colpito la città di Atlanta, identificato come SamSam.
CrowdStrike e FireEye concordano sul fatto che, a differenza di quanto sostenuto da alcune prime voci di corridoio, gli autori di Ryuk non sembrano essere nordcoreani. L’attacco pare invece provenire dalla Russia, come dimostrerebbero alcuni indirizzi IP coinvolti nell’operazione e una serie di termini utilizzati nelle comunicazioni. I ricercatori affermano che attacchi di questo tipo potrebbero divenire sempre più comuni, per via della loro efficacia e per la capacità di generare profitti elevati in tempi relativamente brevi.
Cos’è un ransomware?
Per chi non ne fosse a conoscenza, un ransomware è una tipologia di codice malevolo che dopo aver colpito un sistema non si limita a metterlo fuori uso, ma chiede al suo proprietario il versamento di un riscatto per poter ristabilire una situazione di normalità. Solitamente viene completamente bloccato l’accesso ai file presenti nel computer, mediante crittografia, con un conto alla rovescia entro il termine del quale effettuare il pagamento richiesto. In caso di rifiuto, i documenti possono essere definitivamente eliminati.