La variante del ransomware Ryuk è stata scoperta per la prima volta "in the wild" nell'agosto 2018. Da allora, è cresciuta la sua visibilità fino a diventare una delle varianti di ransomware più note e costose esistenti.
A differenza delle prime varianti di ransomware come WannaCry, Ryuk è stato progettato per essere estremamente mirato. Il design del malware significa che ogni vittima deve ricevere l'attenzione individuale dei criminali informatici che operano il malware. Di conseguenza, Ryuk viene utilizzato in campagne mirate con vettori di infezione altamente personalizzati e richieste di riscatto elevate.
Ryuk è stato progettato per essere una variante di ransomware mirata, il che significa che si concentra sulla qualità piuttosto che sulla quantità con le sue vittime. Un'infezione Ryuk inizia con un attacco molto mirato per infettare la vittima designata, seguito dalla crittografia dei file e da una richiesta di riscatto estremamente elevata.
Gli operatori dietro il ransomware Ryuk adottano un approccio mirato per selezionare e infettare le loro vittime. Piuttosto che tentare di infettare un gran numero di computer e chiedere un riscatto relativamente piccolo (come WannaCry), le campagne che utilizzano il ransomware Ryuk si concentrano su una singola organizzazione e hanno un prezzo estremamente alto per il recupero dei dati.
Per questo motivo, Ryuk viene comunemente diffuso attraverso mezzi molto mirati. Questi includono l'uso di e-mail di spear phishing su misura e lo sfruttamento di credenziali compromesse per accedere in remoto ai sistemi tramite il protocollo Remote Desktop (RDP).
Un'e-mail di spear phishing può veicolare direttamente Ryuk o essere la prima di una serie di infezioni da malware. Emotet, TrickBot e Ryuk sono una combinazione comune. Con RDP, un criminale informatico può installare ed eseguire Ryuk direttamente sul computer di destinazione o sfruttare il suo accesso per raggiungere e infettare altri sistemi più importanti della rete.
Ryuk utilizza una combinazione di algoritmi di crittografia, tra cui un algoritmo simmetrico (AES-256) e uno asimmetrico (RSA 4096). Il ransomware cripta un file con l'algoritmo simmetrico e include una copia della chiave di crittografia simmetrica criptata con la chiave pubblica RSA. Al pagamento del riscatto, l'operatore Ryuk fornisce una copia della chiave privata RSA corrispondente, consentendo la decriptazione della chiave di crittografia simmetrica e, utilizzandola, dei file crittografati.
Il ransomware rappresenta una seria minaccia per la stabilità di un sistema infetto se cripta i file sbagliati. Per questo motivo, Ryuk evita deliberatamente di criptare alcuni tipi di file (tra cui .exe e .dll) e i file in determinate cartelle del sistema. Anche se non si tratta di un sistema infallibile, questo riduce la probabilità che Ryuk rompa un computer infetto, rendendo il recupero dei file più difficile o impossibile, anche se viene pagato un riscatto.
Ryuk è conosciuto come una delle varianti di ransomware più costose, con richieste medie di riscatto che hanno raggiunto i 111.605 dollari nel primo trimestre del 2020. Le note di riscatto di Ryuk contengono un indirizzo e-mail a cui le vittime possono rivolgersi ai criminali informatici che operano il ransomware per ricevere istruzioni su come pagare il riscatto.
Tuttavia, le organizzazioni che scelgono di pagare il riscatto potrebbero non ottenere sempre ciò per cui hanno pagato. Pagando una richiesta di riscatto, il criminale informatico dovrebbe inviare una chiave di decriptazione e/o un software in grado di decriptare i file della vittima. Nella maggior parte dei casi, il criminale informatico prenderà il riscatto senza restituire l'accesso ai file.
Tuttavia, anche se i criminali informatici agiscono in buona fede, non c'è garanzia che l'organizzazione possa recuperare l'accesso a tutti i file persi. Una versione del decriptatore del ransomware Ryuk presentava un errore nel codice che faceva cadere l'ultimo byte durante la decriptazione di un file di grandi dimensioni. Mentre in alcuni formati di file quest'ultimo byte è solo un'imbottitura, in altri è fondamentale per l'interpretazione del file. Di conseguenza, una vittima di Ryuk non deve necessariamente aspettarsi di recuperare tutti i suoi file criptati, anche se paga il riscatto.
Cadere vittima di un attacco ransomware Ryuk è estremamente costoso per un'organizzazione. Gli operatori del ransomware Ryuk si sono impegnati a sviluppare un'esca mirata di spear phishing, e chiedono un riscatto elevato per il loro disturbo. Tuttavia, in alcuni casi, anche il pagamento del riscatto non è sufficiente per riottenere l'accesso dell'azienda ai dati sensibili o preziosi.
Per questo motivo, è molto meglio cercare di prevenire un attacco ransomware piuttosto che reagire ad esso. Se il malware Ryuk può essere rilevato prima che inizi la crittografia, l'incidente può essere mitigato con un costo minimo per l'organizzazione.
L'implementazione della soluzione anti-ransomware di Check Point può aiutare un'organizzazione a difendersi da Ryuk e da altre varianti di ransomware. Questo strumento monitora i comportamenti comuni dei ransomware, consentendo di rilevare anche le varianti di ransomware zero-day. Poiché i programmi legittimi non presentano gli stessi comportamenti, come l'apertura e la crittografia di un gran numero di file, la soluzione anti-ransomware di Check Point può fornire un rilevamento del ransomware ad alta fedeltà e ridurre al minimo i danni e i costi associati a un tentativo di attacco ransomware Ryuk.