Parmi les plus redoutables ransomware les plus actifs et dangereux de la planète, figure certainement en haut du panier Ryuk. Parmi ces cibles, on trouve aussi bien des grandes que plus petites entreprises dans des secteurs variés et sur tous les continents (Sopra Steria, Steelcase, UHS...). Pour mieux cerner ce dangereux malware et donner aux entreprises de bonnes clés de compréhension sur cette cybermenace de haut niveau, l'Anssi a publié un document très instructif sur Ryuk. 

« Le rançongiciel Ryuk a été observé pour la première fois en août 2018. C’est une variante du rançongiciel Hermes 2.1, vendu sur le forum souterrain exploit.in à partir de février 2017 par le groupe cybercriminel CryptoTech pour environ 400 dollars », explique l'agence nationale pour la sécurité des systèmes d'information. « Ryuk se compose d’un dropper, déposant sur le poste de la victime l’une des deux versions d’un module de chiffrement de données (32 ou 64 bit). Le dropper exécute ensuite la charge utile. Après quelques minutes d’inactivité, Ryuk cherche alors à arrêter plus de 40 processus et 180 services, notamment ceux liés aux logiciels antivirus, aux bases de données et aux sauvegardes. Il assure sa persistance par la création d’une clé de registre ».

TrickBot, loader numéro 1 de Ryuk

Si de multiples secteurs sont victimes de Ryuk, celui de la santé s'avère particulièrement exposé concentrant rien que sur le mois d'octobre pas moins de 75% des attaques. Début novembre, 1 400 hôpitaux, sociétés pharmaceutiques, agences gouvernementales, universités, etc. seraient en contact avec des serveurs de commande et contrôle Cobalt Strike associés à UNC1878, l’un des opérateurs derrière Ryuk. « Ryuk demeure un rançongiciel particulièrement actif au cours du second semestre 2020. Il se distingue de la majorité des autres rançongiciels par le fait qu’au moins l’un de ses opérateurs a attaqué des hôpitaux en période de pandémie, par l’absence de site dédié de divulgations de données et par l’extrême rapidité d’exécution (de l’ordre de quelques heures) de la chaîne d’infection Bazar-Ryuk », prévient l'Anssi.

« Le vecteur d’infection apparaît généralement être un courriel d’hameçonnage délivrant soit Emotet, soit TrickBot », explique l'ANSSI indiquant par ailleurs que TrickBot est le loader distribuant le plus Ryuk. « Une fois que des outils légitimes de post exploitation sont distribués par TrickBot (Cobalt Strike, Empire, Bloodhound, Mimikatz, Lazagne), les attaquants obtiennent des accès privilégiés à un contrôleur de domaine et déploient Ryuk (par exemple via PsExec) au sein du système d’information de la victime ». Depuis mi-septembre 2020, la chaine d'infection BazarLoader-Ryuk semble cependant remplacer celle impliquant TrickBot.

Parmi les principaux groupes d'attaquants impliqués dans Ryuk, on trouve en particulier Wizard Spider et UNC1878, mais aussi Buer et SilentNight ainsi que FING. Si Ryuk n'apparait pas clairement comme un ransomware as a service (RaaS), l'Anssi note que plusieurs attaquants différents sont impliqués dans des chaines d'infection aboutissant au déploiement de Ryuk.