Le ransomware Ryuk

Ryuk, un nom autrefois propre à un personnage fictif d'une bande dessinée et d'une série de dessins animés japonaises populaires, est désormais le nom de l'une des familles de ransomwares les plus méchantes à avoir jamais frappé les systèmes du monde entier.

TÉLÉCHARGEZ MALWAREBYTES GRATUITEMENT

Également pour Windows, iOS, Android, Chromebook et Pour les entreprises

Parlons du ransomware Ryuk

Ryuk est le nom d'une famille de ransomwares, découverte pour la première fois en août 2018. Autrefois, nous connaissions Ryuk comme un personnage fictif d'un célèbre manga et anime japonais, mais maintenant, il est l'un des ransomwares les plus redoutés qui frappent les systèmes du monde entier.

Qu'est-ce que le ransomware Ryuk ?

Commençons par définir le ransomware en général. Ransomware est une catégorie de malwares qui verrouillent vos fichiers ou systèmes, les tenant en otage contre une rançon. Ryuk est un type de ransomware utilisé dans des attaques ciblées, où les acteurs de la menace s'assurent que les fichiers essentiels sont chiffrés afin de demander des montants de rançon élevés. Une demande de rançon typique de Ryuk peut atteindre quelques centaines de milliers de dollars. Malwarebytes le détecte comme Ransom.Ryuk. Pour une analyse technique plus approfondie de cette menace, consultez notre point focal sur la menace ransomware Ryuk.

Comment fonctionne Ryuk ?

Ryuk est l'une des premières familles de ransomwares capables d'identifier et de chiffrer les disques et ressources réseau, ainsi que de supprimer les copies de sauvegarde dans les terminaux. Cela signifie que les attaquants peuvent désactiver la restauration du système Windows pour les utilisateurs, rendant la récupération impossible sans sauvegardes externes ou technologie de retour en arrière.

Qui a créé Ryuk ?

L'attribution de malwares est toujours difficile. Cependant, des chercheurs de Deloitte Argentine, Gabriela Nicolao et Luciano Martins, ont attribué le ransomware Ryuk à CryptoTech, un groupe de cybercriminels peu connu qui faisait la promotion d'Hermes 2.1 sur un forum clandestin en août 2017. Selon les chercheurs, Hermes 2.1 est un autre nom pour le ransomware Ryuk.

Actualités sur le ransomware Ryuk

2021:

2020:

2019:

Qui sont les cibles de Ryuk ?

Les cibles de Ryuk sont généralement des organisations de haut profil où les attaquants savent qu'ils ont de bonnes chances de se faire payer des rançons conséquentes. Parmi les victimes, on compte EMCOR, les hôpitaux UHS et plusieurs journaux. En ciblant ces organisations, Ryuk aurait généré un revenu de 61 millions de dollars pour ses opérateurs entre février 2018 et octobre 2019.

Comment Ryuk est-il déployé ?

Comme pour de nombreuses attaques de malware, la méthode de diffusion est des e-mails de spam (malspam). Ces e-mails sont souvent envoyés depuis une adresse usurpée, de sorte que le nom de l'expéditeur ne suscite pas de suspicion.
Une attaque typique de Ryuk commence lorsqu'un utilisateur ouvre un document Microsoft Office piégé joint à un e-mail de phishing. Ouvrir le document exécute une macro malveillante qui tente de télécharger le Trojan bancaire Emotet. Ce Trojan a la capacité de télécharger d'autres malwares sur une machine infectée qui récupère et exécute Trickbot, dont la charge principale est un spyware. Celui-ci collecte les identifiants d'administration, permettant aux attaquants de progresser latéralement vers les actifs critiques connectés au réseau. La chaîne d'attaque se termine lorsque les attaquants exécutent Ryuk sur chacun de ces actifs.

Alors, une fois que votre réseau est compromis, les attaquants décident s'ils estiment que cela vaut la peine d'explorer et d'infiltrer davantage le réseau. S'ils ont suffisamment de levier pour demander une grosse somme, ils déploieront le ransomware Ryuk.

Notes de Ransomware Ryuk — *Notes du ransomware Ryuk*

Comment puis-je me protéger contre Ryuk ?

Le premier pas pour se protéger contre toute attaque par ransomware est d'investir dans une protection anti-malware/antivirus, de préférence une qui offre une protection en temps réel conçue pour contrecarrer les attaques de malware avancées telles que le ransomware. Vous devriez aussi rechercher des fonctionnalités qui protègent les programmes vulnérables des menaces (une technologie anti-exploit), et qui bloquent le ransomware de prendre vos fichiers en otage (un composant anti-ransomware). Certaines solutions anti-malware offrent une technologie de retour en arrière, spécialement conçue pour contrer les effets des ransomwares.

Malwarebytes bloque le ransomware Ryuk — *Malwarebytes bloque Ransom.Ryuk*

Ensuite, aussi douloureux que cela puisse être, vous devez créer régulièrement des sauvegardes sécurisées de vos données. Notre recommandation est d'utiliser un stockage cloud qui inclut un cryptage de haut niveau et une authentification multi-facteurs. Une autre option est d'acheter des clés USB ou un disque dur externe où vous pouvez enregistrer des fichiers nouveaux ou mis à jour—assurez-vous simplement de déconnecter physiquement les appareils de votre ordinateur après la sauvegarde, sinon ils pourraient aussi être infectés par des ransomwares.
Ensuite, assurez-vous que vos systèmes et logiciels sont régulièrement mis à jour. L'épidémie de ransomware WannaCry a exploité une vulnérabilité dans le logiciel Microsoft, et bien que la société ait publié un correctif pour la faille de sécurité en mars 2017, beaucoup de gens n'ont pas installé la mise à jour—ce qui les a laissés vulnérables à l'attaque. Nous comprenons qu'il est difficile de suivre une liste d'updates toujours croissante pour une myriade de logiciels et applications que vous utilisez dans votre vie quotidienne. C'est pourquoi nous vous recommandons de changer vos paramètres pour permettre les mises à jour automatiques.

Enfin, restez informé. L'un des moyens les plus courants par lesquels les ordinateurs sont infectés par des ransomwares est l'ingénierie sociale. Éduquez-vous (et vos employés si vous êtes propriétaire d'une entreprise) sur la manière de détecter les e-mails de phishing, les sites web suspects et d'autres escroqueries. Et par-dessus tout, faites preuve de bon sens. Si cela semble suspect, c'est probablement le cas.

Comment puis-je supprimer Ryuk ?

Vous pouvez utiliser la console Malwarebytes Anti-Malware Nebula pour analyser vos terminaux. Choisissez l'option Scan + Quarantaine. Après, vous pouvez vérifier la page Détections pour voir quelles menaces ont été trouvées. Sur la page Quarantaine, vous pouvez voir quelles menaces ont été mises en quarantaine et les restaurer si nécessaire. Examinez attentivement la page Détections pour voir si vous pouvez trouver la réponse à comment Ryuk a été livré. Vous ne voulez pas laisser de portes dérobées que les attaquants pourraient réutiliser !

Si vous soupçonnez que la livraison de Ryuk a été effectuée par Emotet, vous devrez suivre quelques étapes supplémentaires. Si votre ordinateur est connecté à un réseau, isolez-le immédiatement. Une fois isolé, assurez-vous de corriger et de nettoyer le système infecté. Mais ce n'est pas tout. En raison de la façon dont Emotet se propage à travers votre réseau, un ordinateur propre peut être réinfecté lorsqu'il est reconnecté à un réseau infecté. Nettoyez chaque ordinateur sur votre réseau un par un. C'est un processus fastidieux, mais les solutions d'entreprise Malwarebytes peuvent le simplifier, en isolant et en remédiant les terminaux infectés et en offrant une protection proactive contre les futures infections par Emotet.