Natalia80 - stock.adobe.com

Ransomware : après Trickbot, branle-bas de combat contre Ryuk

Alors que le gouvernement américain alerte d’une menace imminente de ce rançongiciel contre le monde de la santé, plusieurs spécialistes du renseignement sur les menaces montent au créneau.

Le ransomware Ryuk s’est récemment illustré contre Sopra Steria, mais également contre le réseau d’hôpitaux américains Universal Health Services, le Wyckoff Heights Medical Center de Brooklyn et le University of Vermont Health Network, ou encore le laboratoire Iqvia, aidant à la gestion des tests du vaccin d’AstraZeneca contre le Covid-19, via eResearchTechnology.

C’est dans ce contexte que l’Agence américaine pour la cybersécurité et la sécurité des infrastructures, la Cisa, vient d’émettre un bulletin d’alerte à l’intention du secteur de la santé contre la menace de rançongiciel. Dans celle-ci, on peut lire que « la Cisa, le FBI et le ministère de la Santé et des Services sociaux (HHS) estiment que des cyberacteurs malicieux visent le secteur [de la santé] avec les maliciels TrickBot et BazarLoader, menant souvent à des attaques de ransomware, le vol de données et la perturbation des services de santé ». Le groupe opérateur TrickBot est soupçonné d’être à l’origine de BazarLoader et de BazarBackdoor. Le document comporte de nombreux indicateurs de compromission (IoC), ou marqueurs techniques, associés à la menace, ainsi que des règles de détection Yara.

Les communautés internationales de la cybersécurité et du renseignement sur les menaces, la fameuse Threat Intelligence, avaient déjà su se mobiliser, au printemps, pour mettre leurs énergies en commun et tenter de couper l’herbe sous le pied des cyberdélinquants cherchant à tirer profit de la crise sanitaire. Ils semblent aujourd’hui renouveler leurs efforts.

Ainsi, RiskIQ vient de rendre accessibles à tous ses propres marqueurs techniques liés à l’infrastructure utilisée par les opérateurs du ransomware Ryuk. L’initiative est loin d’être isolée. ThreatConnect, dont le chercheur Kyle Ehmke partage très régulièrement sur Twitter des indicateurs de compromission liés à Ryuk, vient de partager une campagne consolidant l’intégralité de ses efforts de recherche dans le domaine. Chez DomainTools, Joe Slowik a également apporté sa pierre à l’édifice. Cela vaut également pour Aaron Stephens, de Mandiant – chez qui le groupe aux commandes de Ryuk est appelé UNC1878.

Chez Gigamon, Justin Warner y est également allé de son analyse, après avoir été confronté à une attaque impliquant BazarLoader et ayant conduit à Ryuk en… moins de 5h. Ajoutons à cela Red Canay qui, dans un billet de blog et un dépôt sur GitHub, détaille les opportunités de détection en cours d’attaque et met en perspective la chaîne d’attaque, la killchain, avec le framework ATT&CK du Mitre.

De son côté, Sophos détaille une nouvelle approche des opérateurs de Ryuk, s’appuyant le loader Buer – via un hameçonnage ciblé. Le Français Sekoia n’est pas en reste, et met ses marqueurs associés à Ryuk en accès libre sur GitHub. Enfin, une analyse détaillée du rançongiciel tend à montrer que ses opérateurs ne l’ont pas véritablement altéré récemment, mais ont simplement modifié quelques charges pour tirer profit de la vulnérabilité zerologon avant que l’application des correctifs disponibles depuis cet été ne soit généralisée.

Plus tôt ce mois-ci, Eset, Microsot, les Black Lotus Labs de Lumen, NTT, Symantec, notamment, ont tenté de porter un coup à TrickBot. Microsoft a revendiqué à cette occasion que 94 % de l’infrastructure du botnet était tombée. Pour Intel 471, ces actions sont porteuses de promesses. Mais pas encore suffisantes pour éliminer une menace qui semble encore loin d’être éteinte.

Pour approfondir sur Menaces, Ransomwares, DDoS