Ryuk : une nouvelle méthode de cryptage pour ce dangeureux ransomware

Une nouvelle version du ransomware Ryuk est équipée d’une capacité supplémentaire de type ver pour se propager autour des réseaux infectés, ce qui le rend potentiellement encore plus dangereux qu’auparavant.

Ryuk , un ransomware prolifique

Ryuk est l’une des formes de ransomware les plus prolifiques avec 150 millions de dollars de rançon extorquée de victimes du monde entier. Comme d’autres formes de ransomware, Ryuk crypte un réseau, rendant les systèmes inaccessibles. Les cybercriminels à l’origine de l’attaque exigent alors un paiement en échange de la clé de décryptage. Cette demande peut atteindre des millions de dollars.

Ryuk est devenu l’une des familles de ransomwares les plus performantes. Elle est d’ailleurs régulièrement mise à jour afin de maintenir son efficacité. Sa plus grande force ? Sa capacité de se propager sur le réseau en utilisant Wake-on-LAN. ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), l’agence française de cybersécurité a détaillé comment la dernière version de Ryuk est capable de s’autorépliquer sur un réseau local.

Une capacité de propagation sur un réseau

Le ransomware peut se propager sur le réseau en utilisant Wake-on-LAN, une fonctionnalité qui permet aux ordinateurs Windows d’être allumés à distance par une autre machine sur le même réseau. En se propageant à toutes les machines accessibles sur le réseau, l’attaque Ryuk se révèle beaucoup plus dangereuse. Cette capacité a été découverte alors que l’ANSSI répondait à un incident de ransomware Ryuk non identifié plus tôt cette année.

Le journal de l’ANSSI rapporte que Ryuk cible particulièrement les hôpitaux. L’agence française de cybersécurité évoque l’importance des dossiers vitaux des patients dans un contexte de pandémie. Et compte tenu de la situation actuelle, certains hôpitaux cèdent facilement aux demandes de rançon, percevant cette solution comme le moyen le plus simple de continuer à traiter les patients. Et pourtant le paiement de la rançon ne garantit aucunement la restauration du système.

Mode opératoire des cybercriminels

La livraison de Ryuk aux victimes constitue généralement la dernière étape d’une attaque menée en plusieurs étapes. Les réseaux sont initialement compromis avec Trickbot, Emotet ou BazarLoader, ou parfois compromis par des attaques de phishing. Ces réseaux compromis sont ensuite transmis ou loués au gang Ryuk afin de les infecter avec un ransomware. 

Dans la plupart des cas, les victimes des attaques initiales n’appliquent pas de correctifs contre les vulnérabilités connues. Aussi, pour se protéger de ces attaques, toute organisation doit s’assurer que les dernières mises à jour de sécurité soient appliquées sur le réseau dès que possible après leur publication, en particulier lorsqu’il s’agit de vulnérabilités critiques. Une sauvegarde régulière du réseau est tout aussi importante, ainsi qu’une sauvegarde hors ligne. Ainsi, en cas d’attaque par ransomware, le réseau peut être récupéré sans céder aux demandes des cybercriminels.

Pin It on Pinterest