Alcune minacce informatiche sono note da anni: possono mutare più o meno sensibilmente allo scopo di eludere i sistemi informativi di aziende, organizzazioni e privati cittadini, ma il loro meccanismo è conosciuto. Altre invece sono più recenti, se non addirittura scoperte degli ultimi tempi.
È il caso del Ryuk ransomware, che è stato isolato a partire dal 2019, un malware particolarmente pericoloso. Scopriamone le caratteristiche.
Le caratteristiche di Ryuk
Ryuk è un malware di tipo ransomware, creato con l’obiettivo di prendere di mira specifiche organizzazioni, puntando sulla qualità delle vittime più che la quantità delle stesse.
Si diffonde principalmente via mail e, nello specifico, attraverso attacchi di spear phishing (cioè via mail, progettati per attaccare specifiche organizzazioni).
Quando un sistema viene infettato, segue la crittografia dei file e una richiesta di riscatto estremamente elevata per il recupero dei dati (dal momento che le vittime sono accuratamente selezionate).
Come agisce questo il malware Ryuk?
Ryuk utilizza una combinazione di algoritmi di crittografia, criptando specifici dati, file o cartelle ed escludendone altre. Ma quali, esattamente?
Evita deliberatamente la crittografia di file di sistema (ad esempio .exe e .dll) e file in determinate cartelle: il problema è che a volte questi filtri non vanno a buon fine e vengono quindi criptati anche file che non dovrebbero essere criptati…cioè rende impossibile il recupero dei dati anche a seguito del pagamento di un riscatto.
I rischi di questo malware
L’entità del riscatto: rispetto ad altri ransomware, la somma richiesta è mediamente ben più elevata, oltre 93.000€ (fonte: Tripware.com dati riferiti al primo trimestre 2020). Cifra che spiega una selezione così accurata delle aziende bersaglio.
Al costo di un’interruzione dell’operatività di un’azienda si aggiunge anche il costo del riscatto, molto impattante anche per grandi aziende.
Inoltre, anche in caso di volontà di un hacker di permettere la decifrazione dei dati, non è detto che un’azienda riesca a recuperarli.
E il backup? Come sempre è una condizione essenziale ma non sufficiente, perché il malware potrebbe essere ancora annidato nei sistemi informativi aziendali.
Una nuova variante aumenta il rischio
Così come un virus che si diffonde tra le persone, anche un malware subisce delle modifiche (in questo caso da parte degli hacker): una nuova versione wormable permette a Ryuk di auto replicarsi agevolmente in una rete aziendale, senza che altri utenti oltre alla vittima effettuino alcuna attività.
Cosa fare contro il malware Ryuk
Per i motivi sopra descritti, non è efficiente ed economico puntare esclusivamente su backup e capacità reattiva: giusto avere soluzioni e professionisti di cyber security che permettano di affrontare rapidamente un attacco, facendo le scelte giuste…ma un ransomware non va inseguito, va prevenuto.
Esistono soluzioni, software e professionisti di cyber security che – agendo in outsourcing senza la necessità di investimenti insostenibili in risorse interne – monitorano i comportamenti tipici dei ransomware e di altri malware, permettendo di individuare e interpretare anche le attività preparatorie a un futuro attacco informatico.
In poche parole, se dovessimo fare una metafora del mondo fisico, è come se si riuscisse a scoprire un tentativo di intrusione non quando i ladri sono già entrati in edificio, ma non appena hanno iniziato a scavalcare una cancellata. Ciò aumenta le possibilità di prevenzione efficace e riduce i rischi economici di un’azienda.
Interessato a una consulenza in materia di sicurezza informatica?