I guadagni del ransomware Ryuk superano i 150 milioni di dollari

Gli operatori dietro la famigerata famiglia di ransomware Ryuk, uno dei ceppi più diffusi al mondo, hanno guadagnato oltre $ 150 milioni (circa £ 110 milioni) attraverso attività criminali fino ad oggi.

Il ceppo ransomware ha preso di mira organizzazioni di alto profilo in tutto il mondo negli ultimi mesi, accumulando milioni di dollari in pagamenti di riscatto, normalmente in Bitcoin da un unico broker, secondo una ricerca di Advanced-Intel e HYAS.

L'analisi delle transazioni Bitcoin da indirizzi noti di Ryuk ha rivelato un'impresa criminale stimata in oltre 150 milioni di dollari, con pagamenti di riscatto che a volte ammontano a milioni di dollari alla volta.

Diverse importanti organizzazioni sono cadute per mano di Ryuk l'anno scorso, incluso il colosso francese dei servizi IT Sopra Steria, che ha confermato a ottobre di essere stato preso di mira da un attacco da cui l'azienda ha richiesto settimane per riprendersi. Secondo quanto riferito, questo incidente è costato alla società fino a 50 milioni di euro (circa 45 milioni di sterline). Ryuk ha anche preso di mira le organizzazioni sanitarie in passato, inclusi attacchi a diversi ospedali statunitensi nel settembre dello scorso anno.

Il ricercatore Advanced-Intel Vitali Kremez aveva precedentemente rivelato nel novembre 2020 che il più grande pagamento di riscatto di Ryuk era di 2.200 Bitcoin, per un valore di 34 milioni di dollari (circa 25 milioni di sterline) all'epoca. Se quel riscatto venisse pagato oggi, varrebbe più di $ 90 milioni (più di £ 66 milioni), a causa della recente ondata di Bitcoin.

La portata dell'interruzione causata da Ryuk è impressionante considerando che è una varietà relativamente giovane che è salita alla ribalta solo nel 2020, essendo stata in precedenza relativamente oscura. La ricerca mostra che nei primi tre trimestri del 2019 sono stati registrati solo 5.123 attacchi, ad esempio, rispetto ai 67 milioni del 2020, con Ryuk che rappresentava un terzo di tutti gli attacchi ransomware lo scorso anno.

La nuova ricerca ha anche delineato come i ceppi di malware precursori, che infettano i sistemi aziendali prima dell'implementazione di Ryuk, valutino gli obiettivi per quanto possano essere redditizi. Questi calcolano un punteggio in base a vari fattori per determinare la probabilità che le vittime paghino un riscatto maggiore, il che informa i prossimi passi degli operatori.

Gli hacker Ryuk sono anche descritti come "molto professionali" nel rapporto e "non hanno alcuna simpatia per lo stato, lo scopo o la capacità di pagamento delle vittime". Le vittime possono tentare di negoziare, ma gli operatori di solito rispondono con un rifiuto di una sola parola. In un caso, Ryuk ha rifiutato di riconoscere il fatto che un'organizzazione non disponeva dei mezzi per pagare a causa del suo coinvolgimento nell'assistenza alla povertà.

I ricercatori hanno citato vari passaggi che le organizzazioni possono adottare per proteggersi al meglio dall'essere colpiti da Ryuk o da qualsiasi altro ceppo di malware precursore, tra cui Emotet, Zloader e Qakbot, tra gli altri.

Questi approcci includono la limitazione dell'esecuzione delle macro di Microsoft Office per impedire l'esecuzione di script dannosi negli ambienti aziendali, oltre a garantire che tutti i punti di accesso remoto siano aggiornati e richiedano l'autenticazione a più fattori (MFA).

Infine, le organizzazioni dovrebbero considerare l'uso di strumenti di accesso remoto come particolarmente rischioso, inclusi Citrix e Microsoft Remote Desktop Protocol (RDP). L'esposizione di questi sistemi dovrebbe, quindi, essere limitata a un elenco specifico di indirizzi IP quando il loro utilizzo è richiesto.