Ryuk logiciel rançonneur Attack

La variante Ryuk logiciel rançonneur a été découverte pour la première fois "dans la nature" en août 2018. Depuis lors, il a gagné en visibilité pour devenir l'une des variantes les plus connues et les plus coûteuses du logiciel rançonneur.

Contrairement aux premières variantes du logiciel rançonneur telles que WannaCry, Ryuk est conçu pour être extrêmement ciblé. La conception du logiciel malveillant signifie que chaque victime doit faire l'objet d'une attention particulière de la part des cybercriminels qui exploitent le logiciel malveillant. Par conséquent, Ryuk est utilisé dans des campagnes ciblées avec des vecteurs d'infection hautement personnalisés et des demandes de rançon élevées.

En savoir plus Éviter une attaque ?

Comment fonctionne Ryuk logiciel rançonneur ?

Ryuk est conçu comme une variante de logiciel rançonneur ciblé, ce qui signifie qu'il privilégie la qualité plutôt que la quantité de ses victimes. Une infection par Ryuk commence par une attaque très ciblée visant à infecter la victime visée, suivie du chiffrement des fichiers et d'une demande de rançon extrêmement élevée.

#1. Infection

Les opérateurs du logiciel rançonneur Ryuk adoptent une approche ciblée pour sélectionner et infecter leurs victimes. Plutôt que de tenter d'infecter un grand nombre d'ordinateurs et de demander une rançon relativement faible (comme WannaCry), les campagnes utilisant le logiciel rançonneur Ryuk se concentrent sur une seule organisation et demandent un prix extrêmement élevé pour la récupération des données.

C'est pourquoi Ryuk est généralement diffusé par des moyens très ciblés. Il s'agit notamment de l'utilisation de courriels de spear hameçonnage adaptés et de l'exploitation d'informations d'identification compromises pour accéder à distance à des systèmes via le protocole Remote Desktop Protocol (RDP).

Un courriel de spear hameçonnage peut véhiculer Ryuk directement ou être le premier d'une série d'infections de logiciel malveillant. Emotet, TrickBot et Ryuk sont une combinaison courante. Avec RDP, un cybercriminel peut installer et exécuter Ryuk directement sur la machine cible ou tirer parti de son accès pour atteindre et infecter d'autres systèmes plus précieux sur le réseau.

#2. chiffrement

Ryuk utilise une combinaison d'algorithmes de chiffrement, dont un algorithme symétrique (AES-256) et un algorithme asymétrique (RSA 4096). Le logiciel rançonneur chiffre un fichier avec l'algorithme symétrique et inclut une copie de la clé de chiffrement symétrique chiffrée avec la clé publique RSA. Après paiement de la rançon, l'opérateur de Ryuk fournit une copie de la clé privée RSA correspondante, ce qui permet de déchiffrer la clé de chiffrement symétrique et, à l'aide de celle-ci, les fichiers chiffrés.

Le logiciel rançonneur constitue une menace sérieuse pour la stabilité d'un système infecté s'il crypte les mauvais fichiers. Pour cette raison, Ryuk évite délibérément de crypter certains types de fichiers (y compris les fichiers .exe et .dll) et des fichiers dans certains dossiers du système. Bien qu'il ne s'agisse pas d'un système infaillible, il diminue la probabilité que Ryuk brise un ordinateur infecté, rendant la récupération des fichiers plus difficile, voire impossible, même en cas de paiement d'une rançon.

#3. La rançon

Ryuk est connu pour être l'une des variantes les plus coûteuses du logiciel rançonneur, avec des demandes de rançon moyennes atteignant 111 605 dollars au premier trimestre 2020. Les notes de rançon de Ryuk contiennent une adresse électronique où les victimes peuvent cibler les cybercriminels qui exploitent le logiciel rançonneur afin de recevoir des instructions sur la manière de payer la rançon.

Cependant, les organisations qui choisissent de payer la rançon n'obtiennent pas toujours ce qu'elles ont payé. Le paiement d'une rançon devrait permettre au cybercriminel d'envoyer une clé de décryptage et/ou un logiciel capable de décrypter les fichiers de la victime. Dans la plupart des cas, le cybercriminel encaissera la rançon sans restituer l'accès aux fichiers.

Cependant, même si les cybercriminels sont de bonne foi, il n'y a aucune garantie que l'organisation retrouve l'accès à tous ses fichiers perdus. Une version du décrypteur Ryuk logiciel rançonneur comportait une erreur dans le code qui laissait tomber le dernier octet lors du décryptage d'un fichier volumineux. Si, dans certains formats de fichiers, ce dernier octet n'est qu'un simple remplissage, dans d'autres, il est essentiel à l'interprétation du fichier. Par conséquent, une victime de Ryuk ne doit pas nécessairement s'attendre à récupérer tous ses fichiers cryptés, même si elle paie la rançon.

Comment se protéger contre Ryuk

Être victime d'une attaque de Ryuk logiciel rançonneur est extrêmement coûteux pour une organisation. Les opérateurs du logiciel rançonneur Ryuk se sont efforcés de mettre au point un leurre de harponnage ciblé, et ils exigent une rançon élevée en contrepartie. Cependant, dans certains cas, même le paiement de la rançon ne suffit pas à rétablir l'accès d'une entreprise à des données sensibles ou précieuses.

C'est pourquoi il est préférable d'essayer de prévenir une attaque par logiciel rançonneur plutôt que d'y réagir. Si le logiciel malveillant Ryuk peut être détecté avant que le chiffrement ne commence, l'incident peut être atténué avec un coût minimal pour l'organisation.

Le déploiement de la solution anti-logiciel rançonneur de Point de contrôle peut aider une organisation à se défendre contre Ryuk et d'autres variantes de logiciel rançonneur. Cet outil surveille les comportements courants du logiciel rançonneur, ce qui lui permet de détecter même les variantes du logiciel rançonneur de jour zéro. Comme les programmes légitimes ne présentent pas les mêmes comportements, tels que l'ouverture et le chiffrement d'un grand nombre de fichiers, la solution anti-logiciel rançonneur de Point de contrôle peut fournir une détection de logiciel rançonneur de haute fidélité et minimiser les dommages et les coûts associés à une tentative d'attaque de Ryuk logiciel rançonneur.