Qu'est-ce que le rançongiciel Ryuk ?

Ryuk est un type de rançongiciel qui cible généralement les très grandes entreprises. Le groupe qui exploite Ryuk exige de ses victimes des rançons élevées.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Décrire le fonctionnement de Ryuk rançongiciel
  • Comprendre comment le groupe derrière Ryuk opère
  • Liste des principales attaques par rançongiciel de Ryuk.

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que le rançongiciel Ryuk ?

Ryuk est un type de rançongiciel* que les attaquants utilisent pour extorquer de l'argent aux entreprises depuis 2018. Les parties qui exploitent Ryuk poursuivent des cibles importantes et demandent des rançons plus élevées que la plupart des attaquants par rançongiciel. Les attaques de Ryuk sont inhabituelles dans la mesure où elles impliquent une surveillance considérable et un effort manuel pour infecter leurs cibles. (Pour les groupes de rançongiciels courants, mettre autant d'efforts dans une attaque réduit sa rentabilité).

Le groupe qui serait à l'origine de la plupart des attaques de rançongiciel Ryuk s'appelle Wizard Spider. Il exploite également TrickBot, un logiciel malveillant de type cheval de Troie, qui est un fichier malveillant déguisé en quelque chose de bénin.

*Un rançongiciel est un logiciel malveillant (malware) qui verrouille des fichiers et des données, le plus souvent par le biais d'un chiffrement , et les conserve pour demander une rançon. L'attaquant ou le groupe qui contrôle le rançongiciel déverrouille les fichiers à distance une fois que l'organisation victime a payé la rançon.

Comment le rançongiciel Ryuk pénètre-t-il dans une organisation ?

Le plus souvent, le « virus » Ryuk pénètre dans un réseau par le biais d'une infection par TrickBot. TrickBot peut pénétrer dans une organisation de plusieurs façons. Le spam est l'une des méthodes les plus courantes. TrickBot se propage également par le biais du botnet Emotet préexistant, qui utilise des e-mails malveillants — en particulier des pièces jointes de documents Word — pour infecter les ordinateurs.

Une fois que TrickBot a infecté un appareil, le groupe Wizard Spider peut l'utiliser pour installer le rançongiciel Ryuk. Celui-ci se déplace ensuite latéralement dans le réseau, infectant autant de dispositifs connectés qu'il le peut sans déclencher d'alertes de sécurité.

Wizard Spider utilise diverses techniques pour diffuser l'infection Ryuk dans un réseau tout en restant indétectable. Il s'agit parfois d'un processus manuel — le groupe peut exécuter à distance des scripts malveillants dans PowerShell (un utilitaire du système d'exploitation Windows) ou exploiter le protocole RDP (Remote Desktop Protocol), entre autres méthodes.

Comment fonctionne le rançongiciel Ryuk ?

Une fois que Ryuk s'est 'exécuté, il chiffre les fichiers et les données de tous les ordinateurs, lecteurs réseau et ressources réseau infectés.

Selon l'entreprise de sécurité CrowdStrike, Ryuk utilise les algorithmes RSA-2048 et AES-256 pour chiffrer les fichiers. RSA est un algorithme de chiffrement à clé publique, ce qui signifie qu'il génère une paire de clés pour chiffrer les fichiers et les données : une clé publique et une clé privée. Wizard Spider détient la clé privée, ce qui empêche la victime de déchiffrer les fichiers par elle-même.

Contrairement à la plupart des rançongiciels, Ryuk tente activement de chiffrer les fichiers système. Comme l'a observé CrowdStrike, il tente de chiffrer les fichiers de démarrage, ce qui peut rendre le système hôte instable ou le planter complètement s'il était redémarré.

En général, la demande de rançon apparaît sur un système infecté sous la forme d'un fichier texte (.txt). Ryuk génère ce fichier lorsqu'il s'exécute. L'avis de rançon indique aux victimes comment contacter les attaquants et payer la rançon.

Les paiements de rançon de Ryuk

Wizard Spider demande généralement le paiement en bitcoins, exigeant souvent des rançons de 100 000 dollars ou plus. Une ville américaine a versé une rançon de 460 000 $ suite à une attaque de Ryuk.

En 2021, les experts ont estimé que Wizard Spider a gagné plus de 150 millions $ en paiements de rançons.

Quelles sont les principales attaques par rançongiciel de Ryuk ?

Attaque de Tribune Publishing

En 2018, Ryuk s'est propagé à plusieurs journaux aux États-Unis via un logiciel Tribune Publishing infecté. Les attaques ont perturbé l'impression des journaux pendant plusieurs jours.

L'infection de Universal Health Services (UHS)

En 2020, Universal Health Services (UHS) a vu son infrastructure informatique bloquée par le ransomware Ryuk. Le système téléphonique de l'organisation et les dossiers médicaux des patients étaient inaccessibles. Il a fallu environ trois semaines à UHS pour restaurer ses systèmes, et l'entreprise a estimé à 67 millions de dollars les pertes dues à cette attaque.

Les attaques de 2020 contre les hôpitaux américains

Outre les hôpitaux UHS, plusieurs autres hôpitaux américains ont été victimes d'attaques de ransomware Ryuk en 2020. Ces attaques ont chiffré des données critiques, perturbant les traitements et retardant les procédures pour de nombreux patients.

Quel est le lien entre Ryuk ransomware et Hermes ransomware ?

Hermes est une souche différente mais apparentée de ransomware qui a fait son apparition en 2017. Hermes est largement distribué dans le monde souterrain des ransomwares. De nombreux attaquants ont utilisé Hermes au fil des ans, et il n'est pas associé à un groupe spécifique.

Le ransomware Ryuk était largement basé sur Hermes. Au début, Ryuk partageait beaucoup de code avec Hermes, mais au fil du temps, Wizard Spider a encore modifié Ryuk.

Comment prévenir une infection par le ransomware Ryuk ?

  • Former les utilisateurs pour qu'ils évitent d'ouvrir des courriels et des pièces jointes inattendus : La plupart des infections par des logiciels malveillants sont dues à une erreur de l'utilisateur, et Ryuk ne fait pas exception. Bien que le groupe Wizard Spider puisse souvent propager Ryuk au sein d'une organisation par ses propres moyens, l'infection initiale commence généralement parce qu'un utilisateur a ouvert ou téléchargé une pièce jointe malveillante, ce qui entraîne une infection par TrickBot ou Emotet. La formation à la sécurité des utilisateurs peut réduire les risques de ce type d'infection.
  • Analyser les systèmes pour détecter les infections préexistantes : De nombreuses attaques de Ryuk ont lieu parce qu'un réseau est déjà infecté par le malware TrickBot ou Emotet. L'analyse anti-malware - une pratique importante de la sécurité des points de terminaison - peut aider à détecter ces infections et permettre aux administrateurs réseau d'isoler les appareils infectés.
  • Utilisez un modèle de sécurité à confiance zéro : Dans un réseau à confiance zéro , aucun dispositif informatique n'est fiable par défaut et les dispositifs doivent être revérifiés en permanence. Cette approche limite l'accès des dispositifs infectés, empêchant ainsi la compromission du réseau.
  • Sauvegardez régulièrement vos fichiers et vos données : Dans certains cas, une organisation peut restaurer ses données à partir d'une sauvegarde au lieu de payer la rançon ou de reconstruire l'ensemble de son infrastructure informatique.

Même avec ces méthodes, il est impossible de garantir qu'une attaque de Ryuk ransomware n'aura pas lieu, tout comme il est impossible de prévenir à 100 % toute menace. Toutefois, ces mesures peuvent réduire considérablement les risques d'infection.

Pour vous aider à mettre en œuvre un modèle de sécurité Zero Trust, tournez-vous vers Cloudflare One. Cloudflare One est une plateforme SASE (secure access service edge) avec une connectivité réseau étendue et une sécurité Zero Trust intégrée.