psdesign1 - Fotolia
Ransomware : Ryuk s’impose comme une menace grandissante sur les entreprises
Ce rançongiciel semble bien parti pour continuer à faire parler de lui, après ses performances de fin d'année. Doté de nouvelles fonctions, il a de quoi inquiéter de plus en plus le monde professionnel.
Trois virgule sept millions de dollars. C’est ce que Ryuk aurait déjà rapporté à ses opérateurs depuis son apparition en août dernier, selon CrowdStrike. Dans un billet de blog, l’éditeur estime que ce ransomware, qui s’est particulièrement fait remarquer en fin d’année, a été exclusivement utilisé par un groupe connu sous le nom de Grim Spider pour cibler les entreprises plutôt que les particuliers. Sans pour autant que ceux-ci aient été épargnés.
Alexander Hanel, chercheur en sécurité chez Crowdstrike, indique ainsi que le maliciel modulaire TrickBot a été utilisé dans bon nombre des attaques Ryuk : « CrowdStrike a mené de multiples missions d'intervention en réponse à des infections impliquant Ryuk, où TrickBot s’est également avéré présent sur des hôtes dans l'environnement de la victime ».
Selon l’éditeur, Grim Spider utilise TrickBot – distribué par e-mail ou via Emotet – pour l'infection initiale de l’environnement. De là, le groupe utilise des scripts PowerShell pour masquer ses activités et ses mouvements latéraux, tout en désactivant les sauvegardes et en infectant les hôtes avec le rançongiciel Ryuk.
FireEye s’est également penché sur le sujet. Et de noter également une augmentation de la prévalence des attaques impliquant TrickBot : « ces opérations sont actives depuis au moins décembre 2017, avec une hausse notable dans la seconde moitié de 2018, et se sont avérées très efficaces pour solliciter d'importants paiements de rançon auprès des organisations victimes ». Pour FireEye, ces opérations devraient « continuer de gagner du terrain tout au long de l'année 2019 en raison du succès de ces opérateurs qui ont réussi à extorquer des sommes importantes aux organisations victimes ».
Adam Meyers, vice-président de CrowdStrike en charge du renseignement sur les menaces, estime que les attaques impliquant Ryuk font partie de ce que le fournisseur appelle la « chasse au gros gibier » où des groupes de cyber-délinquants comme Grim Spider ciblent les grandes entreprises afin de générer des paiements élevés, rapidement : « dans de tels cas, le ransomware est déployé dans l'ensemble de l'organisation pour maximiser les revenus ».
Un attribution toujours discutée
CrowdStrike et FireEye contestent l’attribution de Ryuk à la Corée du Nord. Les chercheurs du second indiquent ne pas avoir trouvé d’indices supportant de telles affirmations. Ceux de Crowdstrike vont plus loin. Pour Alexander Hanel, les équipes de renseignements sur les menaces de l’éditeur « ont une confiance moyennement élevée dans le fait que Grim Spider agisse à partir de la Russie ». Leur évaluation repose en partie sur les travaux de CrowdStrike, qui a mis la main sur des artefacts portant des noms de fichiers en russe, mais également sur d'autres activités observées lors d’enquêtes pour des clients affectés.
McAfee a également publié une étude contestant l’implication de la Corée du Nord dans les attaques Ryuk. En se basant sur des marqueurs techniques et les activités de certains milieux interlopes. Les chercheurs de McAfee ont estimé probable que des cyberdéliquants russophones soient derrière Ryuk. Mais pas un état-nation.