Contactez-nous au 04 28 29 74 17

Retour aux articles

Ryuk, un ransomware sophistiqué

11 mars 2020 - par bbadmin

Au cours de ces dernières semaines, le ransomware Ryuk a été impliqué dans plusieurs incidents de cybersécurité, notamment en Caroline du Nord où le ransomware aurait paralysé la ville de Durham et plus précisément ses services de police ainsi que les pompiers de la ville.

Le groupe russe WIZARD SPIDER serait derrière ces attaques, ciblant principalement les grandes organisations qui ne peuvent pas supporter de “temps d’arrêt”, afin de maximiser ses gains.

Le ransomware Ryuk embarque avec lui des modules d’autres malwares déjà connus : Emotet et Trickbot. A la suite d’une infection par mail frauduleux, les fonctionnalités de ces 2 malwares bancaires sont utilisées.

Les attaques de Ryuk se déroulent comme décrit ci-dessous :

  1. Pièce jointe malveillante dans un courriel
  2. Récupération d’identifiants et mots de passe via Emotet ou Trickbot
  3. Élévation de privilèges en créant un nouvel utilisateur admin
  4. Mouvement latéral sur le réseau, pour gagner l’accès à l’active directory
  5. Désactivation des briques de sécurité sur les postes (Antivirus, journalisation,…)
  6. Suppression de vos sauvegardes sur la machine (Shadow copy)
  7. Propagation du binaire de Ryuk sur tous les postes

En plus d’utiliser des moyens automatisés pour pénétrer au sein d’un système d’information, il y aurait une intervention humaine derrière chaque attaque afin de contourner au mieux les mécanismes de sécurité.

Les conseils Cylresc pour contenir ce type d’attaques :

  1. Sensibiliser vos équipes aux risques cyber et notamment au phishing
  2. Respecter le principe de moindres privilèges en n’accordant que les droits strictement nécessaires à vos collaborateurs
  3. Mettre en place un plan de sauvegarde réguliers incluant des sauvegardes hors ligne.
  4. Segmenter votre réseau de manière à contrôler les flux transitant vers vos actifs primordiaux
  5. Désactiver les services de connexions distants s’ils ne sont pas nécessaires (RDP).
  6. Mettre en place une politique de mis à jour permettant de patcher au plus tôt les actifs du système d’information.