Parlons du ransomware Ryuk
Ryuk est le nom d'une famille de ransomware, découverte pour la première fois dans la nature en août 2018. Au bon vieux temps, nous ne connaissions Ryuk que comme un personnage fictif d'une bande dessinée japonaise populaire et d'une série de dessins animés, mais nous le connaissons maintenant comme l'une des familles de ransomwares les plus méchantes à avoir jamais infesté les systèmes du monde entier.
Qu'est-ce que le ransomware Ryuk ?
Commençons par définir le ransomware en général. Les ransomwares sont des malwares qui verrouillent vos fichiers ou vos systèmes et les retiennent en otage contre une rançon. Ryuk est un type de ransomware utilisé dans des attaques ciblées, où les acteurs de la menace s'assurent que les fichiers essentiels sont cryptés afin de pouvoir demander des rançons importantes. Une demande de rançon typique de Ryuk peut s'élever à quelques centaines de milliers de dollars. Malwarebytes le détecte sous le nom de Ransom.Ryuk. Pour un examen technique plus approfondi de cette menace, consultez notre article sur le ransomware Ryuk.
Comment Ryuk travaille-t-il ?
Ryuk est l'une des premières familles de ransomwares à inclure la capacité d'identifier et de chiffrer les lecteurs et les ressources du réseau, ainsi que de supprimer les copies d'ombre sur le point final. Cela signifie que les attaquants peuvent ensuite désactiver Windows System Restore pour les utilisateurs, ce qui rend impossible la récupération d'une attaque sans sauvegardes externes ou technologie de retour en arrière.
Qui a créé Ryuk ?
L'attribution d'un logiciel malveillant est toujours difficile. Cependant, les chercheurs de Deloitte Argentine, Gabriela Nicolao et Luciano Martins, ont attribué le ransomware Ryuk à CryptoTech, un groupe cybercriminel peu connu qui a été observé en train de vanter Hermes 2.1 dans un forum clandestin en août 2017. Selon les chercheurs, Hermes 2.1 est un autre nom pour le ransomware Ryuk.
Nouvelles du ransomware Ryuk
- 2021:
- La ville de Liège touchée par un ransomware, Ryuk suspecté
- Le ransomware Ryuk se transforme en ver informatique
- 2020:
- VideoBytes : Le ransomware Ryuk cible les hôpitaux américains
- Le Tampa Bay Times victime d'une attaque par ransomware Ryuk
- 2019:
Qui sont les cibles de Ryuk ?
Les cibles de Ryuk sont généralement des organisations de premier plan pour lesquelles les attaquants savent qu'ils ont des chances d'obtenir le paiement des rançons très élevées qu'ils demandent. Parmi les victimes figurent EMCOR, des hôpitaux UHS et plusieurs journaux. En ciblant ces organisations, Ryuk aurait généré un revenu de 61 millions de dollars pour ses opérateurs entre février 2018 et octobre 2019.
Comment Ryuk est-il livré ?
Comme pour de nombreuses attaques de malwares, la méthode d'acheminement est celle des courriels de spam(malspam). Ces courriels sont souvent envoyés à partir d'une adresse usurpée, de sorte que le nom de l'expéditeur n'éveille pas les soupçons.
Une attaque typique de Ryuk commence lorsqu'un utilisateur ouvre un document Microsoft Office armé joint à un courriel d'hameçonnage. L'ouverture du document entraîne l'exécution par une macro malveillante d'une commande PowerShell qui tente de télécharger le cheval de Troie bancaire Emotet. Ce cheval de Troie a la capacité de télécharger d'autres malwares sur une machine infectée qui récupère et exécute Trickbot, dont la charge utile principale est un logiciel espion. Ce dernier recueille les informations d'identification de l'administrateur, ce qui permet aux attaquants de se déplacer latéralement vers des actifs critiques connectés au réseau. La chaîne d'attaque se termine lorsque les attaquants exécutent Ryuk sur chacun de ces biens.
Ainsi, une fois que votre réseau a été violé, les attaquants décident s'ils pensent que cela vaut la peine de poursuivre l'exploration et l'infiltration du réseau. S'ils ont suffisamment de poids pour exiger une somme importante, ils déploieront le ransomware Ryuk.
Comment puis-je me protéger contre Ryuk ?
La première étape pour se protéger contre une attaque de ransomware est d'investir dans une protection anti-malware/antivirus, de préférence une protection en temps réel conçue pour contrecarrer les attaques de malwares advanced tels que les ransomwares. Vous devez également rechercher des fonctions qui protègent les programmes vulnérables contre les menaces (technologie anti-exploitation ) et qui empêchent les ransomwares de prendre les fichiers en otage (composante anti-ransomware ). Certaines solutions anti-programmes malveillants proposent une technologie de retour en arrière, spécialement conçue pour contrer les effets des ransomwares.
Ensuite, même si cela vous fait mal, vous devez créer régulièrement des sauvegardes sécurisées de vos données. Nous vous recommandons d'utiliser un système de stockage en nuage qui inclut un niveau élevé de chiffrement et une authentification multifactorielle. Une autre option consiste à acheter des clés USB ou un disque dur externe où vous pouvez sauvegarder des fichiers nouveaux ou mis à jour. Veillez toutefois à déconnecter physiquement les périphériques de votre ordinateur après la sauvegarde, sinon ils pourraient également être infectés par un ransomware.
Veillez ensuite à ce que vos systèmes et logiciels soient régulièrement mis à jour. L'épidémie de ransomware WannaCry a tiré parti d'une vulnérabilité dans les logiciels Microsoft, et bien que l'entreprise ait publié un correctif pour la faille de sécurité en mars 2017, de nombreuses personnes n'ont pas installé la mise à jour, ce qui les a laissées ouvertes à l'attaque. Nous comprenons qu'il est difficile de rester au fait d'une liste toujours plus longue de mises à jour provenant d'une liste toujours plus longue de logiciels et d'applications que vous utilisez dans votre vie quotidienne. C'est pourquoi nous vous recommandons de modifier vos paramètres afin d'activer la mise à jour automatique.
Enfin, restez informé. L'un des moyens les plus courants d'infecter les ordinateurs avec un ransomware est l'ingénierie sociale. Renseignez-vous (et vos employés si vous êtes chef d'entreprise) sur la manière de détecter les courriels d'hameçonnage, les sites web suspects et autres escroqueries. Et surtout, faites preuve de bon sens. Si cela semble suspect, c'est probablement le cas.
Comment supprimer Ryuk ?
Vous pouvez utiliser la console Nebula deMalwarebytes Anti-Malware pour analyser vos points finaux. Choisissez l'option Scan + Quarantine. Ensuite, vous pouvez consulter la page Détections pour voir quelles menaces ont été trouvées. Sur la page Quarantaine, vous pouvez voir quelles menaces ont été mises en quarantaine et les restaurer si nécessaire. Examinez attentivement la page Détections pour voir si vous pouvez trouver la réponse à la question de savoir comment Ryuk a été livré. Vous ne voulez pas laisser de portes dérobées que les attaquants pourraient réutiliser !
Si vous soupçonnez que la livraison de Ryuk a été effectuée par Emotet, vous devez prendre des mesures supplémentaires. Si votre ordinateur est connecté à un réseau, isolez-le immédiatement. Une fois isolé, veillez à appliquer des correctifs et à nettoyer le système infecté. Mais ce n'est pas tout. En raison de la manière dont Emotet se propage dans votre réseau, un ordinateur propre peut être réinfecté lorsqu'il est rebranché à un réseau infecté. Nettoyez chaque ordinateur de votre réseau un par un. C'est un processus fastidieux, mais les solutions professionnellesMalwarebytes peuvent le faciliter, en isolant et en remédiant aux points finaux infectés et en offrant une protection proactive contre les futures infections par Emotet.