Ryuk est un type de rançongiciel qui cible généralement les très grandes entreprises. Le groupe qui exploite Ryuk exige de ses victimes des rançons élevées.
Cet article s'articule autour des points suivants :
Contenu associé
Rançongiciel
Rançongiciel Maze
Rançongiciel WannaCry
Charges malveillantes
Sécurité des points de terminaison
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Ryuk est un type de rançongiciel* que les attaquants utilisent pour extorquer de l'argent aux entreprises depuis 2018. Les parties qui exploitent Ryuk poursuivent des cibles importantes et demandent des rançons plus élevées que la plupart des attaquants par rançongiciel. Les attaques de Ryuk sont inhabituelles dans la mesure où elles impliquent une surveillance considérable et un effort manuel pour infecter leurs cibles. (Pour les groupes de rançongiciels courants, mettre autant d'efforts dans une attaque réduit sa rentabilité).
Le groupe qui serait à l'origine de la plupart des attaques de rançongiciel Ryuk s'appelle Wizard Spider. Il exploite également TrickBot, un logiciel malveillant de type cheval de Troie, qui est un fichier malveillant déguisé en quelque chose de bénin.
*Un rançongiciel est un logiciel malveillant (malware) qui verrouille des fichiers et des données, le plus souvent par le biais d'un chiffrement , et les conserve pour demander une rançon. L'attaquant ou le groupe qui contrôle le rançongiciel déverrouille les fichiers à distance une fois que l'organisation victime a payé la rançon.
Le plus souvent, le « virus » Ryuk pénètre dans un réseau par le biais d'une infection par TrickBot. TrickBot peut pénétrer dans une organisation de plusieurs façons. Le spam est l'une des méthodes les plus courantes. TrickBot se propage également par le biais du botnet Emotet préexistant, qui utilise des e-mails malveillants — en particulier des pièces jointes de documents Word — pour infecter les ordinateurs.
Une fois que TrickBot a infecté un appareil, le groupe Wizard Spider peut l'utiliser pour installer le rançongiciel Ryuk. Celui-ci se déplace ensuite latéralement dans le réseau, infectant autant de dispositifs connectés qu'il le peut sans déclencher d'alertes de sécurité.
Wizard Spider utilise diverses techniques pour diffuser l'infection Ryuk dans un réseau tout en restant indétectable. Il s'agit parfois d'un processus manuel — le groupe peut exécuter à distance des scripts malveillants dans PowerShell (un utilitaire du système d'exploitation Windows) ou exploiter le protocole RDP (Remote Desktop Protocol), entre autres méthodes.
Une fois que Ryuk s'est 'exécuté, il chiffre les fichiers et les données de tous les ordinateurs, lecteurs réseau et ressources réseau infectés.
Selon l'entreprise de sécurité CrowdStrike, Ryuk utilise les algorithmes RSA-2048 et AES-256 pour chiffrer les fichiers. RSA est un algorithme de chiffrement à clé publique, ce qui signifie qu'il génère une paire de clés pour chiffrer les fichiers et les données : une clé publique et une clé privée. Wizard Spider détient la clé privée, ce qui empêche la victime de déchiffrer les fichiers par elle-même.
Contrairement à la plupart des rançongiciels, Ryuk tente activement de chiffrer les fichiers système. Comme l'a observé CrowdStrike, il tente de chiffrer les fichiers de démarrage, ce qui peut rendre le système hôte instable ou le planter complètement s'il était redémarré.
En général, la demande de rançon apparaît sur un système infecté sous la forme d'un fichier texte (.txt). Ryuk génère ce fichier lorsqu'il s'exécute. L'avis de rançon indique aux victimes comment contacter les attaquants et payer la rançon.
Wizard Spider demande généralement le paiement en bitcoins, exigeant souvent des rançons de 100 000 dollars ou plus. Une ville américaine a versé une rançon de 460 000 $ suite à une attaque de Ryuk.
En 2021, les experts ont estimé que Wizard Spider a gagné plus de 150 millions $ en paiements de rançons.
En 2018, Ryuk s'est propagé à plusieurs journaux aux États-Unis via un logiciel Tribune Publishing infecté. Les attaques ont perturbé l'impression des journaux pendant plusieurs jours.
En 2020, Universal Health Services (UHS) a vu son infrastructure informatique bloquée par le ransomware Ryuk. Le système téléphonique de l'organisation et les dossiers médicaux des patients étaient inaccessibles. Il a fallu environ trois semaines à UHS pour restaurer ses systèmes, et l'entreprise a estimé à 67 millions de dollars les pertes dues à cette attaque.
Outre les hôpitaux UHS, plusieurs autres hôpitaux américains ont été victimes d'attaques de ransomware Ryuk en 2020. Ces attaques ont chiffré des données critiques, perturbant les traitements et retardant les procédures pour de nombreux patients.
Hermes est une souche différente mais apparentée de ransomware qui a fait son apparition en 2017. Hermes est largement distribué dans le monde souterrain des ransomwares. De nombreux attaquants ont utilisé Hermes au fil des ans, et il n'est pas associé à un groupe spécifique.
Le ransomware Ryuk était largement basé sur Hermes. Au début, Ryuk partageait beaucoup de code avec Hermes, mais au fil du temps, Wizard Spider a encore modifié Ryuk.
Même avec ces méthodes, il est impossible de garantir qu'une attaque de Ryuk ransomware n'aura pas lieu, tout comme il est impossible de prévenir à 100 % toute menace. Toutefois, ces mesures peuvent réduire considérablement les risques d'infection.
Pour vous aider à mettre en œuvre un modèle de sécurité Zero Trust, tournez-vous vers Cloudflare One. Cloudflare One est une plateforme SASE (secure access service edge) avec une connectivité réseau étendue et une sécurité Zero Trust intégrée.