Un attacco ransomware ha fruttato agli hacker quasi 4 milioni di dollari

L’attacco informatico iniziato lo scorso agosto con il ransomware Ryuk, che blocca l’accesso ai file finché non si paga un riscatto, ha fruttato agli hacker l’equivalente di circa 3,7 milioni di dollari in Bitcoin.

Le 52 transazioni anonime effettuate da altrettante vittime sono state ricostruite dalle società di sicurezza informatica Crowdstrike e FireEye, che hanno rilevato anche come il malware fosse progettato per attaccare solo grandi realtà evitando i piccoli bersagli. Il 29 dicembre Ryuk ha colpito anche i sistemi del Los Angeles Times e del San Diego Union Tribune, determinando un rallentamento della consegna dei giornali in tutto il Paese.

Dietro agli attacchi si nasconderebbero degli hacker russi mossi da intenti criminali e non agenzie al soldo del governo nordcoreano, come precedentemente ipotizzato. Crowdstrike è convinta che Ryuk sia una versione modificata di un malware già noto, di cui il collettivo denominato “Grim Spider” (dall’inglese, ragno feroce) sarebbe entrato in possesso dopo averlo acquistato su un forum online.

La strategia

Secondo i rapporti pubblicati dalle due aziende, Ryuk viene installato sui sistemi delle vittime solo alla fine di un lungo processo di infezione, attraverso altri malware diffusi tramite email di phishing.

Una volta distribuiti i vettori di attacco, gli hacker inizierebbero ad analizzare quali aziende sono riusciti a infiltrare, alla ricerca dei bersagli più grandi. Il lavoro di analisi, riportano i ricercatori, può durare anche diversi mesi, alla fine dei quali gli hacker utilizzano il malware Ryuk - che probabilmente prende il nome da un personaggio dell’anime giapponese Death Note. La vittima si ritrova così una richiesta di pagamento in Bitcoin in cambio delle chiavi per tornare ad accedere ai propri file.