Il ransomware Ryuk fa coppia col trojan Trickbot per accedere alle reti infette

Ryuk è sempre stato considerato un ransomware "mirato": la sua modalità di attacco ha sempre previsto un preciso obiettivo, sul quale tentare l'accesso tramite i servizi di Desktop Remoto o altri metodi diretti (furto di credenziali). Ottenuto l'accesso, si concentra su server e dati di alto profilo, così da poter estorcere come riscatto la somma più alta possibile.

Ruyk è conosciuto proprio per queste caratteristiche: ha un alto impatto sulle reti che infetta, richiede elevatissimi riscatti ed ha avuto un grandissimo "successo", se teniamo di conto che i report fissano a circa 3.7 milioni di dollari il guadagno di questo malware. E' recentissimo (qualche settimana fa) l'uso di Ryuk Ransomware per attaccare la distribuzione dei cartacei di grandissime firme del giornalismo, come il Wall Street Journal, il New York Times e il Los Angeles Times. 

Nei giorni scorsi, da parte dei ricercatori di FireEye e CrowdStrike sono state condotte ulteriori

Ransomware Ryuk: l'update delle tecniche di hacking lo rende la più grave cyber minaccia alle aziende

Nuovi recenti attacchi, tutti rigorosamente mirati e contro reti aziendali, hanno mostrato come gli operatori del ransomware Ryuk abbiano optato per nuove tecniche per ottenere l'accesso iniziale alla rete bersaglio. La tendenza mostrata in queste settimane è chiara: Ryuk predilige host con connessioni desktop remote esposte in Internet. 

Sono stati i ricercatori di AdvancedIntelligence, che da oltre un anno osservano gli attacchi di Ryuk, ad individuare un trend molto chiaro: la maggior parte degli attacchi di quest'anno ha visto come bersaglio le connessioni RDP esposte. L'attacco è piuttosto banale: gli attaccanti eseguono attacchi di brute force su larga scala contro host con RDP esposte. 

Ciò non significa, va detto, che il gruppo di Ryuk non usi più attacchi di phishing o spear phishing, ma sono tecniche, queste, che mano a mano sono divenute meno frequenti. In passato Ryuk ha anche usato la campagna BazaCall per distribuire il malware: il malware era distribuito tramite call center dannosi che, prendendo di mira utenti aziendali, indirizzavano loro documenti Excel compromessi coi quali avviare la catena d'infezione. 

I nuovi trend di Ryuk

Ransomware Conti: è arrivato il successore di Ryuk?

Partiamo da un dato di fatto: Ryuk è, ad ora, il top ransomware. Può "giocarsela" con Maze, ma indubbiamente sta nella top dei ransomware ormai stabilmente da più di un anno. A Ryuk e Maze si deve una lievitazione impressionante della media dell'ammontare dei riscatti ransomware e un nuovo modello di attacco, una rivoluzione nel mondo di questi malware: colpire in maniera mirata target facoltosi (aziende ed enti) anziché perseguitare home user che al massimo possono spendere qualche migliaio di dollari per riavere in chiaro le foto delle vacanze. 

Il ransomware Conti è stato individuato nel Dicembre 2019, diffuso soltanto in attacchi mirati e isolati: da quel momento gli attacchi che lo hanno visto protagonista sono aumentati lentamente, ma alla fine di Giugno il numero di infezioni segnalate ha raggiunto livelli che cominciano ad essere allarmanti. Cogliendone le potenzialità, l'esperto di ransomware Lawrance Abrams ha cominciato quindi a tracciarlo ed analizzarlo. 

Qualche dettaglio tecnico

Quanto costa un attacco ransomware? Ryuk colpisce l'Universal Health Services e determina una perdita di 67 milioni di dollari

L'azienda sanitaria e fornitrice di servizi ospedalieri Universal Health Services (UHS) ha annunciato di aver subito un attacco da parte del ransomware Ryuk nel Settembre 2020. A distanza di qualche mese UHS ha stimato che l'impatto di questo cyber incidente è stato di circa 67 milioni di dollari USA. 

UHS non è proprio un "ospedale di provincia": Fortune lo annovera tra i primi 500 fornitori di servizi sanitari al mondo, con 90.000 dipendenti e un flusso di pazienti annuale che si aggira attorno ai 3.5 milioni: 400 sono le strutture sanitarie distribuite tra Stati Uniti e Regno Unito. 

"[Ryuk] ha avuto un impatto complessivo di circa 67 milioni di dollari durante l'anno terminato il 31 Dicembre 2020" dichiarano da UHS. "i Servizi più impattati sono stati quelli di assistenza. La perdita è consistita principalmente nella diminuzione del profitto derivante dell'attività dei pazienti, nonchè nell'aumento delle riserve di entrata registrate in relazione ai ritardi di fatturazione associati. Sono state anche incluse nel conto alcune spese di manodopera, onorari professionali e altre spese operative sostenute in conseguenza diretta dell'incidente e dell'interruzione delle operazioni" si legge nel comunicato ufficiale. "Inoltre abbiamo sostenuto  costi di manodopera incrementali, sia interni che esterni, per ripristinare le operazioni IT il prima possibile", conclude la nota. 

Un mese per ripristinare i sistemi

Ancora ospedali sotto attacco: il ransomware Ryuk lancia l'assalto agli Ospedali UHS in tutti gli Stati Uniti

A pochi giorni dalla notizia della morte di una paziente come conseguenza diretta di un attacco ransomware (è ad ora in corso un' indagine per omicidio colposo avviata dalla Procura di Colonia), gli attacchi ransomware contro ospedali e fornitori di servizi sanitari non si fermano. Anzi, la situazione sta peggiorando. 

La nuova vittima d'eccellenza è il provider di servizi sanitari Universal Health Service (UHS): il gigante della sanità statunitense ha dichiarato pubblicamente di essere stato costretto allo shut down dei sistemi di tutti gli ospedali negli Stati Uniti in seguito ad un cyber attacco che ha colpito la rete aziendale all'alba di Domenica scorsa (27 Settembre 2020). Per rendersi conto del contesto, UHS gestisce oltre 400 tra ospedali e ambulatori negli Stati Uniti e nel Regno Unito, conta oltre 90.000 dipendenti e assiste più di 3.5 milioni di pazienti ogni anno. 11.4 miliardi di dollari il profitto annuale dichiarato, che pone UHS tra le prime 500 aziende di Fortune. 

L'attacco è iniziato durante la notte ed ha riguardato sicuramente gli ospedali UHS in California, Florida, Texas, Arizona, Washington D.C che si sono ritrovati senza accesso ai computer e ai sistemi telefonici. Ad ora e tutt'ora, gli ospedali UHS stanno dirottando le ambulanze e ricollocando i pazienti in altre strutture nei dintorni.

I dipendenti raccontano che, quando è iniziato l'attacco, sono state arrestate dagli attaccanti più

Ransomware: Sodinokibi e Ryuk fanno lievitare le richieste di riscatto - parte 2

Nel Luglio 2019 avevamo ritenuto importante pubblicare questa notizia:

• I ransomware Ryuk e Sodinokibi fanno lievitare le richieste di riscatto

In breve, ci era sembrato importante perchè rendeva oggettivamente l'inizio di un importante cambiamento nel mondo dei ransomware, ovvero quello del passaggio da attacchi "nel mucchio" ad attacchi mirati, più specifici e sopratutto ben più remunerativi dell'utente home ricattato per riavere in chiaro le foto delle vacanze. Protagonisti di questo cambiamento erano i ransomware Sodinokibi e  Ryuk, le cui richieste di riscatto contro aziende ed enti pubblici avevano fatto segnare un boom: da 12.700 dollari nel 1° trimestre 2019 a 36.000 dollari nel 2° trimestre. 

A distanza di mesi ritorniamo sul tema perchè nuovi dati non hanno fatto altro che confermare questo infausto trend: ad oggi il riscatto medio, sempre spinto da Sodinokibi e Ryuk (che si confermano con Maze i top player del mondo ransomware), si attesta a 111.000 dollari. Stando ai dati pubblicati in un report di BleepingComputer insieme all'azienda di cyberisicyrezza Coveware, il primo trimestre dell'anno ha registrato un aumento dei riscatti medi del 33% circa rispetto al trimestre precedente. 

Da grandi responsabilità derivano grandi riscatti

Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?

Da oltre un mese e mezzo città e istituzioni negli Stati Uniti sono sotto un serrato attacco da parte di ransomware. Lo schema è sempre lo stesso (a parte alcune eccezioni): infettare il sistema della municipalità o dell'istituto scolastico spesso via email, criptare i dati portando al blocco di una lunghissima serie di servizi, richiedere un riscatto molto alto ed aspettare. E, a parte rare eccezioni, quasi tutte le vittime stanno cedendo. 

Difficile dire se vi sia un unico gruppo, oppure se più gruppi stanno attaccando contemporaneamente: quel che è certo è che negli Stati Uniti i ransomware stanno diventando una minaccia alla sicurezza nazionale. Non stiamo scherzando: ad esempio ieri lo Stato della Louisiana ha dichiarato lo stato di emergenza nazionale a causa di un attacco ransomware.  Proviamo a ricostruire una piccola cronologia degli attacchi. 

1. Lo stato della Louisiana dichiara l'emergenza nazionale per attacco ransomware (Luglio)

Aggiornamento Ransomware: GandCrab e Ryuk Ransomware

Breve aggiornamento settimanale su due importanti ransomware: possiamo infatti dichiarare concluso il corso di vita e attività di GandCrab, mentre torna a solcare la scena del cyber crime una vecchia conoscenza, il ransomware Ryuk.

1. GandCrab risolvibile: disponibile il tool di decriptazione.

Qualche giorno fa abbiamo appreso, ad opera degli sviluppatori stessi del ransomware, della sospensione dell'attività di GandCrab, uno dei ransomware di punta degli ultimi due anni. Ora c'è finalmente anche la possibilità di risolvere le versioni più recenti, ovvero le v. 5.0.4, v.5.1 e v.5.2. 

Coloro che necessitano di assistenza per queste infezione possono scriverci all'email alessandro@nwkcloud.it inviandoci la nota di riscatto e due file criptati. I nostri tecnici procederanno al test per individuare la versione e per l'approntamento del tool di decriptazione.

Ulteriori informazioni su www.decryptolocker.it

2. Ryuk Ransomware: individuata nuova versione

E' stata individuata, già in uso in attacchi reali, una nuova variante del ransomware Ryuk, una vecchia conoscenza che latitava dalle scene da qualche tempo. La variante individuata è dotata di una particolare blacklist, dove sono inseriti indirizzi IP e computer che non subiranno alcuna criptazione nel caso in cui il ransomware dovesse riuscire ad entrare nel sistema. 

I ransomware Ryuk e Sodinokibi fanno lievitare le richieste di riscatto

L'ammontare medio dei riscatti richiesti dopo un attacco ransomware è quasi raddoppiato nel secondo trimestre di quest'anno: i dati indicano che gran parte della responsabilità risiede nei ransomware Ryuk e Sodinokibi. 

Di questi due malware abbiamo parlato abbondantemente: hanno registrato un consistente incremento dell'attività e bersagliano sia target privati che organizzazioni pubbliche.  E' ovvio che colpire organizzazioni e aziende rende molto più probabile riuscire ad ottenere il pagamento di riscatti molto alti rispetto a colpire utenti home. E il motivo non è soltanto il fatto che le aziende necessitano più urgentemente di rientrare in possesso dei propri file, ma anche che lo stallo operativo conseguente ad un attacco di questo tipo comporta ulteriori costi economici e reputazionali. 

Il duopolio  di Ryuk e Sodinokibi

Dopo le città criptate, ecco gli ospedali criptati: il ransomware Ryuk scatenato in USA e Australia

Qualche settimana fa avevamo parlato, in ben due approfondimenti, del problema delle "città criptate": in breve era in corso e, incredibilmente lo è tutt'ora, una vera e propria offensiva ransomware (certe volte perfino con attacchi coordinati contro più città o strutture) contro svariate tipologie di istituzioni pubbliche e private statunitensi. Il problema si è fatto così grave da aver costretto, ad esempio, lo Stato della Lousiana a dichiarare emergenza nazionale a Luglio, ma anche l'FBI a diramare svariate informative e alert. Addirittura, poco meno di due settimane fa, il Senato degli Stati Uniti ha approvato una legge ad hoc per arginare il problema dei dilaganti attacchi ransomware. L'ondata di attacchi non solo non si è fermata, ma sta mettendo in ginocchio decine di strutture ospedaliere e sanitarie. 

Un breve riepilogo

- La strage texana di Agosto >> leqqi qui

- Ransomware & città criptate: cosa sta accadendo negli Stati Uniti? >> leggi qui

Cosa sta accadendo?

Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

Il report che la società di sicurezza KELA ha pubblicato qualche giorno fa accende i riflettori su un fenomeno che spesso resta in secondo piano: la rivendita di accessi alle reti violate sembra essere argomento sottovalutato rispetto alla vendita nel dark web di dati personali a fini di furto d'identità o di coppie di credenziali. 

Rivendere gli accessi: il mercato delle reti violate
Il report parla di una organizzazione capillare, molto strutturata al punto da configurare, praticamente, una filiera: è la riconferma del fatto che il cybercrime si fa sempre più "professionale" e sempre meglio organizzato. La rappresentazione plastica di questo fenomeno, oltre alla nascita dei RaaS (Ransomware as a service) e dei MaaS (malware as a service) e la strutturazione sempre più avanzata del mercato di compravendita di accessi. Ora si può definitivamente parlare di un vero  e proprio mercato in cui si vendono accessi alle reti. 

Lo schema è questo: un gruppo di attaccanti riesce a violare, in qualche maniera, una rete. L'idea comune è che, ottenuto un accesso, l'attaccante prosegua nel suo intento portando attacchi più profondi e pesanti al fine di poter guadagnare monetizzando l'attività. La novità è che sempre più spesso gli attaccanti si fermano all'ottenimento dell'accesso alla rete e poi monetizzano direttamente quello, rivendendolo ad altri "colleghi". Si profila quindi una filiera in cui alcuni cyber attaccanti si specializzano in violazione delle reti, mentre altri si specializzano in diffusione malware, furto dati e criptazione. 

Malware che si nascondo nella rete (e ci restano): la coppia TrickBot Ryuk

Ne abbiamo parlato ieri qui, prendendo spunto da una discussione che sta animando la comunità dei ricercatori di sicurezza: i ransomware (ma in generale i malware) non si limitano ad infettare una rete per poi scomparire una volta eseguite le attività dannose. Al contrario, molto spesso, ci restano per futuri attacchi. 

La discussione è originata dal fatto che sul sito che gli attori del ransomware Maze hanno approntato per i data leak dei file rubati alle vittime, è comparso il report scritto dal team IT di una grande azienda di Singapore, i cui tecnici hanno commesso l'ingenuità di pubblicare sulla rete ancora infetta il report (con analisi e contromosse) riguardante l'infezione ransomware. Dopo pochi giorni il report è finito in prima pagina sul sito di leak a mò di monito: "siamo ancora qui". 

Oggi arriva una ulteriore conferma, a ribadire che prima di intervenire su una rete per bloccare una infezione occorre avere la certezza che non vi siano più accessi non autorizzati: il ransomware Ryuk e il trojan TrickBot hanno iniziato ancora una volta a cooperare, come denunciano da  BleepingComputer. Di nuovo, perché non è neppure la prima volta...

Campagna di email di spam a tema Coronavirus contro utenti italiani: non solo furto dati, ma anche ransomware

Abbiamo fornito alcune informazioni su quella che appare essere la prima campagna di distribuzione malware a tema Coronavirus qualche giorno fa, in questo post, facendo riferimento all'analisi del C.R.A.M dei colleghi di TgSoft.

Torniamo adesso sull'argomento per due diversi motivi: il primo è che le email veicolo del malware sono ancora in diffusione, quindi la campagna di malspam ancora non è terminata, mentre il secondo è che ulteriori analisi hanno individuato un altro malware in diffusione tramite la stessa campagna, ovvero TrickBot. 

L'email vettore

Microsoft assedia e sconfigge TrickBot: 'è un rischio per le elezioni USA'

Non è la prima volta che Microsoft decide di passare all'azione per combattere il cybercrime in prima persona, attaccando direttamente i cyber attaccanti. Nel Marzo di quest'anno Microsoft ha preso il controllo della botnet Necurs, responsabile dell'invio di 3.8 milioni di messaggi di spam contro oltre 46 milioni di target in appena 50 giorni di analisi. Nei primi giorni di Luglio di quest'anno, invece, Microsoft ha annunciato con un dettagliato report di aver effettuato e concluso una vasta campagna di attacco per prendere il controllo e mettere offline una serie di domini usati in quel periodo per lanciare massivi attacchi di phishing, la maggior parte dei quali a tema Covid. 

Da pochi giorni si è conclusa un'altra operazione simile, avente come obiettivo principale quello di smantellare la botnet TrickBot e l'intera infrastruttura dedicata alla sua gestione. 

Per iniziare: TrickBot in breve
Abbiamo parlato spesso di TrickBot, sopratutto da quando, a partire dallo scorso anno ha iniziato a fare "coppia fissa" col ranomsware Ryuk e ad essere diffuso piuttosto regolarmente anche in Europa (italia compresa). TrickBot è stato individuato nel Settembre del 2016: le prime analisi lo definirono immediatamente come erede di Dyre, un trojan bancario oggi quasi completamente dismesso. Il legame tra questi due trojan risultò evidente per la similarità di codice e funzioni, ma anche a partire dal loader, denominato TrickLoader in entrambi i casi.  

Ancora ospedali criptati, ma anche radio e provider. Ransomware scatenati, nuove vittime eccellenti in U.S.A. e Spagna

Ancora ransomware, ancora città, ospedali, aziende criptate. Qualche tempo fa avevamo tratteggiato un vero e proprio salto di qualità nella diffusione dei ransomware, sopratutto del ransomware Ryuk: non solo pubbliche amministrazioni, ma anche vari "colpi grossi" contro ospedali e scuole. Nonostante le leggi federali e statali emanate appositamente negli Stati Uniti per arginare il fenomeno, gli attacchi non sono affatto cessati. E anzi, si registra un nuovo attacco che ha colpito una istituzione molto importante, il Brooklyn Hospital. Ma arrivano brutte notizie anche dall'Europa, con due gravi attacchi ransomware in Spagna. 

1. Il Brooklyn Hospital perde(irrimediabilmente) i dati dei pazienti in un attacco ransomware

Un attacco ransomware ha colpito i sistemi computerizzati del Brooklyn Hospital Center di New York, causando la perdita PERMANENTE dei dati dei pazienti. I tecnici hanno provato a recuperare i dati, senza successo: questo indica che il riscatto non è ancora stato pagato ai cyber attaccanti. 

Città criptate: attacco ransomware coordinato obbliga allo shut down dei sistemi informatici del governo della Louisiana

Lo denunciamo ormai da qualche tempo e la questione viene ribadita da svariati eventi, dei quali potete trovare traccia in alcuni articoli di questo blog: gli attacchi contro istituzioni governative e sanitarie o contro infrastrutture critiche sono in costante crescita. 

L'ultimo episodio, in ordine di tempo, risale giusto a ieri: il governo della Louisiana è stato colpito da un attacco ransomware coordinato su larga scala, che ha costretto il Governo a mettere offline i server di molte agenzie di Stato, compreso il sito del Governo, i sistemi email e le applicazioni interne, al fine di mitigare e impedire la diffusione del ransomware. 

L'attacco è avvenuto Lunedì scorso ed è stato seguito da una sequenza di shut down che ha riguardato larga parte delle agenzie di stato, compreso l'Ufficio del Governatore, la Motorizzazione, il Dipartimento di Salute, il Dipartimento dei servizi ai bambini e alla famiglia, il Dipartimento dei Trasporti e Sviluppo e altri. 

Il Ransomware Conti si schiera a difesa del governo russo e un ricercatore ucraino pubblica il suo codice sorgente. Il top ransomware sta per scomparire?

Anche il mondo del cyber è stato scosso e si è schierato lungo le fratture prodotte dalla guerra iniziata in Ucraina nel 2014 e giunta proprio in questi giorni al suo massimo culmine. Già sono rimbalzate su tutti i media mondiali le iniziative di Anonymous contro la Russia  (che ha lanciato la campagna #OpRussia), si è parlato anche della cyber war che la Russia ha lanciato contro l'Ucraina tramite una lunga serie di attacchi i cui strascichi sono già arrivati in Italia (parliamo del malware HermeticWiper) e si trovano anche alcuni report sulla cyber war che gli Stati Uniti hanno scatenato contro la Russia. Meno risalto ha invece avuto la frammentazione delle principali bande ransomware tra i vari schieramenti (fisicamente) in campo alle porte di Kiev. Tra tutti, si è resa molto interessante la vicenda che ha riguardato il ransomware Conti, del quale pensiamo non siano necessarie molte presentazioni. Parliamo infatti del top ransomware che, insieme a LockBit, vanta oggi il maggior volume di attacchi e di guadagni ottenuti dalle estorsioni. 

Per approfondire >

• Ransomware Conti: è arrivato il successore di Ryuk?
• Cyber attacchi in Italia: anatomia del ransomware Conti
  
  

Conti si schiera con la Russia...

Attacco ransomware obbliga la città di New Orleans al blocco di server e sistemi

La città di New Orleans sta lentamente tornando alla normalità, dopo aver subito un attacco ransomware di ampia portata che ha colpito le infrastrutture IT della municipalità costringendo allo shut down di computer, sistemi e server della città. 

Kim LaGrue, Chief Information Officer di New Orleans ha fatto sapere che le prime attività sospette sono state registrate già alle 5 del mattino di Venerdì scorso. Alle 8 del mattino, quando gli impiegati hanno effettuato l'accesso ai propri pc, si è verificato un vero e proprio picco di individuazioni di attività sospette ed è iniziata immediatamente una verifica dello stato di reti e sistemi. Intorno alle 11, 11.30 circa è stato confermato, anche a mezzo stampa, che la città era sotto attacco ransomware e che i partner statali e federali erano già stati allertati. E' stato diramato quindi l'ordine, a tutti i dipendenti, di spegnere e disconnettere i computer dal sistema pubblico del Municipio. Anche i server della città sono stati spenti. Sono rimasti attivi e funzionanti soltanto i servizi di emergenza come L'emergency Operation Center, il 911, il Dipartimento dei Vigili del Fuoco, il Dipartimento di Polizia ecc..

La nota di riscatto che non c'è

Ransomware: la settimana terribile

La scorsa settimana è stata flagellata dal fenomeno dei ransomware, tra attacchi eclatanti e nuove versioni in diffusione. Rende bene l'idea il report settimanale pubblicato da Bleeping Computer sulle novità riguardanti i ransomware: prima di un lunghissimo elenco di nuove versioni e di infezioni che hanno messo in crisi anche intere città e istituzioni universitarie, troviamo un titolo ad effetto, ma chiaro "under siege", sotto assedio. 

Segnaliamo solo le novità principali e di maggiore risalto, nell'intento di dare un quadro breve, ma chiaro, su quanto il ransomware stia risalendo nella top dei malware dopo un periodo in cui i minier di criptovaluta sembravano destinati a sostituire i "virus del riscatto" nell'armamentario preferito dei cyber criminali. 

In breve:

1. Dharma ransomware: un diluvio di nuove versioni

2. L'exploit Kit RIG "sposa" il ransomware Eris

3. Città e università criptate: come un virus può paralizzare intere istituzioni
4. Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!

Ransomware Sodinokibi - spiando gli attaccanti: strumenti e tattiche

Di Sodinokibi abbiamo parlato recentemente: è infatti un ransomware molto giovane, emerso quasi in contemporanea con Ryuk, ma che è divenuto in poco tempo uno dei ransomware di punta nello scenario degli strumenti malware. Così protagonista nello scenario dei ransomware da aver determinato un aumento dell'ammontare medio delle richieste di riscatto: concorso di colpa da condividere col "collega" Ryuk.  

Per approdondire >> Dentro Sodinokibi, il Top Ransomware

I ricercatori di McAfee sono riusciti ad esaminare strumenti e tattiche in uso agli affiliati della rete di Sodinokibi il quale, ricordiamo, è un RaaS, un ransomware as a service, ovvero un malware offerto in affitto a soggetti che lo distribuiscono in proprio guadagnando dai riscatti quel che resta dopo aver pagato la quota di affitto agli sviluppatori del ransomware stesso. Ne rendiamo un breve riassunto, utile ad aumentare la consapevolezza e la conoscenza sul mondo dei ransomware e quindi anche su come difendersi.