Emotet, Trickbot : des vecteurs de diffusion du ransomware Ryuk à prendre très au sérieux
Le comté de Jackson, en Géorgie, aux Etats-Unis, a versé 400 000 $ de rançon pour se débarrasser de ce rançongiciel. Les experts recommandent la plus grande prudence face à ses vecteurs de distribution. Car ceux-ci s’avèrent redoutables.
Le gouvernement du comté de Jackson en Géorgie, outre-Atlantique, vient de reconnaître avoir fait appel aux services d’un intermédiaire pour verser une rançon de 400 000 $ et récupérer ses systèmes. Le maliciel Ryuk semble avoir affecté ces derniers. Explication avancée pour ce choix : « nous aurions pu être littéralement à terre durant des mois et dépenser autant, sinon plus, pour essayer de reconstruire ».
Mi-janvier, Crowdstrike alertait déjà sur la menace grandissante que représente Ryuk pour les entreprises. En début d’année, après quelques mois d’existence, il aurait déjà rapporté plus de 3,5 millions de dollars à ses opérateurs. L’éditeur expliquait alors que Ryuk était largement distribué via Emotet, souvent conjointement à Trickbot, un maliciel dont l’un des modules est dédié à la collecte d’identifiants devant faciliter le déplacement latéral après la compromission initiale.
FireEye indiquait alors avoir fait des observations comparables. Adam Meyers, vice-président de CrowdStrike en charge du renseignement sur les menaces, estimait quant à lui que les attaques impliquant Ryuk font partie de ce que le fournisseur appelle la « chasse au gros gibier » où des groupes de cyber-délinquants comme Grim Spider ciblent les grandes entreprises afin de générer des paiements élevés, rapidement : « dans de tels cas, le ransomware est déployé dans l'ensemble de l'organisation pour maximiser les revenus ».
Pour Marcus Hutchins, le menace est à prendre très au sérieux : « si vous êtes alerté d’une infection par Emotet ou Trickbot sur votre réseau, nettoyez immédiatement. Les deux essaient de se diffuser à tous les systèmes du réseau. Et en cas de réussite, le ransomware Ryuk peut être déployé simultanément sur tous les ordinateurs ». Pire encore, Ryuk ne frappe pas au hasard, mais après une longue et prudente reconnaissance. Du coup, au moment du verrouillage des systèmes, « votre réseau a été infecté depuis des semaines voire des mois ».
EMOTET ANALYSTS: Everyday, our team sees 5-15 clients networks wrecked by Emotet. Cleanup/response can take 3d - 3mo depending on IT department skills, tools, and telemetry. We’re creating a “synchronized” removal capability and could use additional perspective. 1/x
— Kyle Hanslovan (@KyleHanslovan) February 17, 2019
Mais voilà, le nettoyage, à ce stade, n’a rien de trivial. Kyle Hanslovan, Pdg de Huntress Labs, le soulignait récemment : « chaque jour, notre équipe voit les réseaux de 5 à 15 clients touchés par Emotet. Le nettoyage peut prendre entre 3 jours et 3 mois suivant les compétences, les outils et la télémétrie disponibles ».
Du coup, pour aider à industrialiser le processus, ses équipes ont travaillé à l’élaboration d’une procédure synchronisée de nettoyage, qui commence par la coupure temporaire des échanges SMB pour bloquer le déplacement latéral dans l’infrastructure compromise. Vient ensuite la suppression des mécanismes de persistance, la spécialité de Huntress Labs, avant le redémarrage des machines affectées.