Categories: RansomwareSécurité

Cyberattaque sur Sopra Steria : un bourreau nommé Ryuk ?

Comment réussir sa gestion de crise ? Sopra Steria proposait, la semaine passée, d’échanger sur le sujet avec les visiteurs des Assises de la cybersécurité.

La sixième plus grosse ESN française n’imaginait pas qu’elle allait se trouver, quelques jours plus tard, mise en situation. Ce jeudi 21 octobre, vers 19 h, elle a émis un court communiqué faisant état d’une cyberattaque à son encontre, détectée la veille au soir.

Pas de confirmation, depuis lors, de la principale piste qu’on évoque : celle de Ryuk. Le FBI le présentait, en mars dernier à la conférence RSA, comme le plus rentable des ransomwares. Avec, en l’occurrence, 61 millions de dollars collectés entre février 2018 et octobre 2019.

Montant moyen, en dollars, des rançons exigées entre août 2018 et décembre 2019 par Ryuk et les autres ransomwares (source Coveware)

Ryuk + Zerologon ?

Dans son étude technique, l’ANSSI met en avant la capacité de Ryuk à contourner les solutions antivirales. Elle souligne aussi la tendance de ses exploitants à réaliser une « étude approfondie » de leurs cibles. Et à faire varier le message de rançon en fonction de l’importance accordée aux victimes.

Son rapport « État de la menace rançongiciel » publié en début d’année établit un lien avec FIN6. Ce groupe cybercriminel russophone se spécialisait initialement dans la compromission d’entités du secteur financier et de terminaux en points de vente.
Le document liste des victimes en France : Travel Technologies Interactive et Fleury Michon, mais aussi Bouygues Construction, à travers une filiale canadienne.

Le trojan bancaire TrickBot pourrait être l’un des vecteurs de diffusion de Ryuk On trouve en tout cas régulièrement l’un et l’autre sur les machines infectées. Le phishing est un autre canal, apparemment en combinaison avec la faille Zerologon.

Illustration principale © danielfoster437 via Visual hunt / CC BY-NC-SA

Recent Posts

Cyberattaques d’États-nations : les RSSI sonnent l’alarme

Pour 8 professionnels de la sécurité IT sur 10, les entreprises ne peuvent exclure d'être…

4 heures ago

Ransomware : où en sont Umanis et les collectivités du Val-de-Marne ?

Vincennes, Alfortville et l'ESN Umanis ont toutes trois subi, ce mois-ci, une cyberattaque impliquant probablement…

5 heures ago

Orange Business Services étend sa couverture AWS

Cet été, Orange étendait sa collaboration avec Google Cloud. Sa filiale OBS fait désormais de…

9 heures ago

IBM France : un plan social majeur prend forme

IBM France vient de communiquer le périmètre et la volumétrie envisagés pour son plan social…

11 heures ago

AIOps : Dynatrace et ServiceNow renforcent leur alliance

Dynatrace et ServiceNow ont conforté l'intégration entre leurs plateformes d'observabilité applicative et de réponse automatisée…

1 jour ago

Deloitte Tech Fast 500 : le secteur logiciel bat des records

L'industrie du logiciel représente 355 des 500 entreprises affichant le plus fort taux de croissance…

1 jour ago