Il ransomware Bitcoin che ha infiltrato 100 aziende statunitensi si diffonde in Cina

Secondo un recente rapporto di Tencent Security, in Cina è stato rilevato un virus ransomware che si è infiltrato con successo in più di 100 aziende governative e private negli Stati Uniti e a livello internazionale.rapporto.

Denominato Ryuk, il codice pernicioso prende di mira “aziende di logistica, aziende Tecnologie e piccoli comuni” con un elevato valore di dati, chiedendo ricompense superiori ai 5 milioni di dollari pagati in Bitcoin, secondo il Federal Bureau of Investigation (FBI).

A gennaio, si pensava che Ryuk fosse dietro un hack di Tribune Publishing, che aveva colpito tutti gli outlet del conglomerato mediatico. A giugno, i funzionari di Lake City, Florida, hanno pagato un riscatto di 460.000 $ dopo che i sistemi informatici della città erano andati in blackout. Questo è avvenuto due settimane dopo il dirottamento da 600.000 $ di Riviera Beach, Florida.

Si pensa che Ryuk sia una versione modificata del virus Hermes, che ha debuttato nell'agosto 2018. Si diffonde tramite i soliti metodi botnet e spam e si infiltra attraverso porte IP non difese.

Una volta installato, il malware dannoso elimina tutti i file correlati all'intrusione e uccide i processi antivirus, oscurando così il vettore di infezione. In ONE caso, tuttavia, gli agenti dell'FBI hanno trovato prove che Ryuk era entrato tramite un attacco brute force di Remote Desktop Protocols.

L'agenzia ha scritto in unFlash:

"Dopo che l'aggressore ha ottenuto l'accesso alla rete della vittima, potrebbero essere scaricati ulteriori strumenti di sfruttamento della rete... una volta eseguito, Ryuk stabilisce la persistenza nel registro, si inietta nei processi in esecuzione, LOOKS i file system connessi alla rete e inizia a crittografare i file."

Il virus rilascia anche un file “RyukReadMe” che apre la lettera di ricatto sul browser Internet della vittima. La pagina web html elenca solo gli indirizzi email dei due hacker nell'angolo in alto a sinistra, il nome del virus al centro della pagina e la frase criptica “balance of shadow universe” nell'angolo in basso a destra.

L'FBI ha monitorato il virus dal 2018 e ha notato una serie di modifiche. È stato segnalato che la variante cinese esegue contemporaneamente un modulo di ricatto a 32 BIT e uno a 64 BIT , il che potrebbe consentire un'ulteriore evoluzione del bug.

Al momento in cui scriviamo non è stato reso noto quante aziende cinesi siano state infettate, né l'importo totale del riscatto richiesto dagli hacker.

Tencent non ha risposto alla Request di commento in merito a questo articolo.

Pirata informaticoimmagine tramite Shutterstock