Quelle place pour Ryuk dans la grande famille des ransomwares ? Un livre blanc de l’ANSSI apporte des réponses. Nombre d’entre elles ne sont cependant que des hypothèses. Notamment en ce qui concerne les acteurs malveillants impliqués.
L’ANSSI affiche davantage de certitudes quant aux origines de Ryuk. Elle le présente comme une variante d’un autre rançongiciel. En l’occurrence, Hermes 2.1, que le groupe cybercriminel CryptoTech avait commencé à vendre en février 2017 sur le forum souterrain exploit.in, pour environ 400 $.
Le mode opératoire de Ryuk ne fait pas non plus grand doute. Dans les grandes lignes, il fonctionne ainsi :
Ryuk n’a pas de capacité de latéralisation automatique. Il n’est pas non plus conçu pour exfiltrer des données – et n’a d’ailleurs pas de « site vitrine », contrairement à d’autres ransomwares. On a toutefois identifié, à la mi-2019, un code malveillant de type stealer présentant des similarités de code avec Ryuk.
Pour ce qui est des victimes, l’ANSSI ne dégage pas de typologie sectorielle. Elle souligne néanmoins une prévalence dans le secteur de la santé et une tendance à cibler les organisations en capacité de payer de grosses rançons (big game hunting).
Quels vecteurs de diffusion pour Ryuk ? Le principal est TrickBot, lui-même distribué via Emotet. Cette chaîne d’infection repose essentiellement sur du phishing. Elle a perduré au moins jusqu’à septembre 2020.
Depuis lors, on a vu s’imposer une autre chaîne d’infection, fondée sur BazarLoader. Son canal de propagation : là aussi, le phishing, avec des mails envoyés entre autres au travers de la plate-forme de marketing Sendgrid. Ils contiennent des liens pointant vers des pages Google Docs. Généralement, l’aperçu ne fonctionne pas, ce qui incite l’utilisateur à télécharger.
Une fois sur le SI, BazarLoader télécharge une porte dérobée (BazarBackdoor) qui elle-même récupère et exécute des charges de post-exploitation. On parle là de Cobalt Strike, d’Empire, de Metasploit, etc.
Quant à savoir d’où proviennent les attaques, c’est une autre affaire. Wizard Spider semble en première ligne. Crowdstrike a donné ce nom au groupe cybercriminel qui opère TrickBot. Il comprendrait des membres du groupe Gold BlackBurn, à l’origine de Dyre, trojan bancaire actif entre 2014 et 2015.
Wizard Spider aurait commencé à distribuer BazarLoader et BazarBackdoor en mars 2020. Il semble en être le développeur. Les similarités avec TrickBot ne manquent en tout cas pas : même crypter, routines de déchiffrement très proches entre les loaders, réutilisation de domaines compromis… Mais cela ne signifie pas que Wizard Spider est celui qui lance les attaques.
L’ANSSI mentionne par ailleurs UNC1878, aussi connu sous le nom de One group. Ce « cluster d’activité » est impliqué depuis janvier 2020 dans des chaînes TrickBot-Ryuk. Et depuis septembre dans des chaînes Bazar-Ryuk. On lui prête des infections opportunistes et un ciblage très large. Il serait à l’origine de récentes attaques contre des hôpitaux aux États-Unis. Une action qui tranche avec les promesses de certains opérateurs de ransomwares d’épargner de telles institutions en période de pandémie.
Parmi les vecteurs de diffusion de Ryuk, il y aurait aussi le malware Buer, vendu sur le darknet pour 350 $. Et SilentNight, cheval de Troie qui circule depuis fin 2019 sur des forums russes souterrains. Il s’agit d’une variante de Zloader, lui-même issu du code source de ZeuS.
Dans la sphère russophone, on suppose aussi des liens avec le groupe cybercriminel FIN6, qui ciblait traditionnellement des terminaux point de vente et des serveurs de paiement d’e-commerce. Parmi les indices de ce lien, des IP communes à des incidents impliquant Ryuk.
FIN6 semble en outre avoir exploité les services d’accès de Wizard Spider. Il n’est pas exclu qu’il s’en soit servi pour distribuer Ryuk.
Ce dernier se rapproche, affirme l’ANSSI, d’un autre ransomware : Conti. Les deux ont fait l’objet de déploiements en parallèle, aussi bien via TrickBot que BazarLoader. Ils ont aussi en commun la porte dérobée Anchor. Sans parler des ressemblances au niveau du code et du message de demande de rançon.
En France, Sopra Steria est la « victime phare » de Ryuk. Touchée en octobre l’ESN estime les dégâts dans la fourchette de 40 à 50 millions d’euros.
Illustration principale © danielfoster437 via Visual hunt / CC BY-NC-SA
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…
