Ryuk ransomware, un programme malveillant qui aurait été utilisé lors d’un détournement pour l’extraction de bitcoins botnet qui a attaqué des entreprises dans le monde entier est un détournement complexe d’un malware classique et corrompu.
Une fois que le ransomware Ryuk entre dans un réseau, il se propage automatiquement de nœud en nœud, de PC en PC, en cryptant les fichiers importants en cours de route avec un code incassable. Essayez d’accéder aux informations codées, et le Ryuk ransomware présente une note de rançon :
“Stockez les bitcoins dans un portefeuille anonyme et obtenez une clé pour décrypter tout votre système. Refusez de payer, et les fichiers restent verrouillés pour de bon.”
Le nom de Ryuk ransomware semble être une référence à un personnage de la célèbre série de manga et d’anime “Death Note“. Dans la bande dessinée, Ryuk est un esprit maléfique qui, ennuyé par son immortalité, choisit de mettre au monde un journal qui permet à son découvreur de tuer n’importe qui en écrivant son nom.
La plupart des attaques par logiciel rançonné proviennent de programmes qui ciblent d’innombrables personnes ayant des liens ou des pièces jointes infectés et demandent ensuite une petite somme d’argent pour ouvrir les PC.
Comment Ryuk est similaire à Hermès ?
Le Ryuk Ransomware n’a pas été largement diffusé, ce qui montre qu’une planification prudente est à l’origine des attaques contre des organisations spécifiques.
Mais bien que la campagne de rançon de Ryuk soit nouvelle, les analystes ont découvert que le code est en fait le même qu’un autre type de rançon, le Hermes ransomware.
Le logiciel de rançon Hermès a été associé à des attaques dirigées par le groupe de piratage nord-coréen Lazarus, notamment lorsqu’il a été utilisé pour détourner un cyber-héros de 60 millions de dollars contre la Banque internationale d’Extrême-Orient à Taïwan.
Les analystes qui ont inspecté la logique de cryptage de Ryuk ransomware ont découvert qu’elle ressemble tellement à Hermès qu’elle fait toujours référence à Hermès dans le code et que les différentes instructions et normes sont les mêmes dans les deux types de logiciels malveillants, affichant des codes sources identiques.
Cela nous a conduit à deux conclusions possibles : Ryuk Ransomware est conçu par un cybercriminel qui a, d’une manière ou d’une autre, accédé au code source d’Hermès, ou Ryuk Ransomware pourrait être un cas de programmeurs nord-coréens réutilisant le code pour mener une nouvelle campagne.
Dans les deux cas, les attaques spécifiquement ciblées et la reconnaissance requise pour les mener recommandent que ceux qui sont derrière le logiciel de rançon Ryuk disposent de suffisamment de temps et de moyens importants pour mener à bien la campagne. Les analystes avertissent que d’autres attaques viendront.
Comment Ryuk Ransomware infecte?
Le Ryuk Ransomware infecte les grandes entreprises après qu’elles aient été récemment contaminées par un malware discret.
Dans la plupart des cas, les entreprises sont d’abord infectées par un puissant cheval de Troie appelé Trickbot. Cependant, les petites entreprises infectées par Trickbot souffrent rarement autant que leurs homologues plus importantes.
Les sociétés de sécurité qualifient la méthodologie utilisée par Ryuk ransomware de “chasse au gros gibier” et jusqu’à présent, ses stratégies ont permis aux cybercriminels de générer 3,7 millions de dollars de bitcoins à partir de 52 transactions.
Ce qui différencie Ryuk Ransomware des différentes souches de rançon est son temps de séjour. Entre l’installation et la contamination initiale du logiciel de rançon Ryuk, les cybercriminels ont beaucoup de temps pour effectuer une reconnaissance à l’intérieur d’un réseau infecté, ce qui leur permet de renforcer les dommages causés en ciblant les systèmes critiques après avoir obtenu leurs mots de passe.
Comment être protégé contre Ryuk Ransomware?
Pour sécuriser votre entreprise, considérez ces moyens :
- Désactivez le bureau à distance sur chaque PC de votre réseau.
- Si vous ne pouvez pas supprimer Remote Desktop Protocol, remplacez-le par une version tierce sécurisée qui permet une authentification à deux facteurs.
- Exigez une authentification à deux facteurs pour toute progression vers vos périphériques réseau. Imposez une approche de gestion des mots de passe sur votre réseau.
- Veillez à ce que vos sauvegardes n’utilisent pas de lettres de disque ou toute autre technique permettant l’accès via le système d’exploitation.
- Enfin, testez la capacité de récupération de vos fichiers pour confirmer que vous disposez d’une sauvegarde que vous pouvez utiliser. A ce stade, stockez ces sauvegardes hors site dans un coffre-fort physique ou dans un emplacement dans le nuage.
Logiciels antivirus et différents protection antivirus sont deux éléments essentiels que les entreprises devraient utiliser pour se sécuriser, mais ils ne sont pas impénétrables. Ryuk ransomware est capable de filtrer et de paralyser un assortiment de logiciels antivirus. Pour lutter contre ce risque, vous devez garantir que vous utilisez un antivirus et d’autres outils qui vous fournissent une visibilité claire de vos réseaux et qui peuvent vous avertir par des alertes lorsqu’une activité suspecte est en cours.
Ryuk ransomware est un cas de sa proéminence croissante auprès des cybercriminels. Les entreprises de sécurité s’attendent à ce que ces activités continuent à prendre de l’ampleur en raison de la réussite de ces opérateurs d’intrusion à faire chanter de grosses sommes d’argent aux entreprises victimes.
Lire aussi: