Rançongiciel Ryuk

Rançongiciel Ryuk

Les cyberattaques se font nombreuses de nos jours, en particulier les rançongiciels, plus communément appelés “ransomware” en anglais.

Cette attaque consiste, comme ses consœurs, à usurper les données personnelles des postes infectés.

Il s’agit donc d’un logiciel souvent caché au sein d’un mail malveillant qui, une fois ouvert, chiffre vos données et bloque l’accès à ces dernières.

Une demande de rançon est émise par les cybercriminels contre le déchiffrement de vos données, donnant ainsi son nom à cette attaque.


Continuons notre enquête en nous intéressant cette fois-ci au phénomène Ryuk, qui semble bien parti pour continuer à faire parler de lui, en ayant déjà déboursé 3,7 millions de dollars en bitcoins depuis son apparition.


Repéré pour la première fois au mois d’août 2018, ce dernier exploite de nouveaux stratagèmes :

Cette fois-ci, les cybercriminels ne diffusent pas des malwares sur n’importe quel poste, mais se sont infiltrés durant plusieurs mois de façon très discrète dans des réseaux d’entreprises, afin d’identifier concrètement quelle stratégie établir pour attaquer les cibles les plus intéressantes et les plus à même de pouvoir payer de grosses rançons.

Selon les chercheurs de Crowdstrike (société américaine spécialisée dans les technologies de cybersécurité), le groupe de pirates, baptisé “Grim Spider” par les chercheurs, qui se cache derrière cette attaque, a eu recours au Cheval de Troie TrickBot pour s’introduire sur des machines ciblées par le biais d’une sorte de phishing.

Cette attaque est généralement cachée dans une feuille Excel, qui est elle-même envoyée par e-mail à une personne ciblée. Si cette dernière se laisse piéger par le message, elle déverrouille les contenus actifs du document.


Qui se cache derrière Ryuk ?


Le ransomware intègrerait un « kill switch » s’activant uniquement selon la localisation de la victime, un comportement qui est assez classique dans l’univers du cybercrime. Ainsi, les pirates évitent de se tirer une balle dans le pied. Par ailleurs, Crowdstrike affirmerait avoir identifié quelques éléments de langage russe dans le code, ainsi qu’un téléchargement suspect provenant de Moscou.



Télécharger le livre blanc