Posté le mars 1, 2021 à 15:04
LE NOUVEAU CHEVAL DE TROIE RYUK S’AUTO-PROPAGE MAINTENANT DANS LE DOMAINE WINDOWS
Un récent rapport de l’agence française de cybersécurité ANSSI a révélé que le logiciel de rançon Ryuk a commencé à se répandre de manière indépendante dans les réseaux.
Le rapport indique que le cheval de Troie de chantage est désormais plus dévastateur et plus puissant, et qu’il s’est rapidement répandu.
Le logiciel malveillant s’auto-réplique sur d’autres appareils
Le cheval de Troie utilise désormais de nouvelles astuces et méthodes pour infiltrer les systèmes informatiques et causer des dégâts. Le rapport a également révélé que les acteurs de la menace derrière le cheval de Troie ont rendu Ryuk plus puissant et lui ont donné des capacités de ver, ce qui signifie qu’il est maintenant capable d’attaquer et de se propager comme la version précédente du cheval de Troie Emotet.
« Grâce à l’utilisation de tâches planifiées, le logiciel malveillant se propage dans le domaine Windows », rapporte l’ANSSI.
Lorsque le logiciel malveillant est lancé, il se propage sur tous les systèmes possibles qui sont compatibles avec Windows RPC.
La nouvelle variante du logiciel malveillant se propage également sur d’autres réseaux en répertoriant toutes les adresses IP dans le cache ARP local et en envoyant ce qui ressemble à un paquet Wake-on-LAN (WOL) à chacun des appareils découverts. Ensuite, il s’empare des ressources des appareils pour en crypter le contenu.
Le nouvel échantillon de Ryuk est désormais plus puissant
Le directeur général d’Advanced Intelligence, Vitali Kremez, a découvert la capacité de montage et de cryptage de Ryuk l’année dernière.
Mais il a observé que cet échantillon de Ryuk est un peu différent de celui qu’il a découvert l’année dernière. La différence est que la capacité de se copier sur d’autres appareils Windows sur les réseaux locaux de la victime.
En outre, le logiciel malveillant possède des fonctionnalités exécutables, ce qu’il fait à distance en utilisant des tâches créées sur chaque réseau compromis via des outils Windows schtasks.exe légitimes.
Selon le rapport, les capacités d’auto-propagation de Ryuk le rendent plus puissant et plus dangereux que la version découverte précédemment.
Il y parvient en copiant l’exécutable sur des partages réseau identifiés. En suivant ce processus, il crée une tâche planifiée sur le système distant.
Le logiciel malveillant n’utilise aucun système d’exclusion qui aurait pu l’empêcher de réencrypter un appareil. Mais l’ANSSI a révélé qu’il est possible d’empêcher la variante d’infiltrer d’autres hôtes sur le réseau. Cela peut être fait en modifiant le mot de passe du compte de domaine qu’il utilise pour se propager à d’autres hôtes.
Le compte d’utilisateur peut également être désactivé avant de passer à l’étape de la double modification du mot de passe. Il peut avoir besoin de plusieurs redémarrages du système, mais la propagation sera également arrêtée. D’autres méthodes de propagation peuvent également être envisagées, notamment en ciblant le cadre d’exécution des logiciels malveillants, selon l’ANSSI.
La première découverte des groupes de ransomware-as-a-service (RaaS) Ryuk a eu lieu en août 2018. Depuis lors, le groupe a ciblé des systèmes et a causé beaucoup de remous au sein de l’écosystème de la cybersécurité.
Le RaaS a gagné environ 150 millions de dollars grâce aux victimes
Le groupe de RaaS dispose également d’un programme d’affiliation dans le cadre duquel les affiliés peuvent demander à faire partie du groupe en soumettant leur CV.
Mais l’équipe du logiciel de rançon Ryuk est la plus populaire du groupe de RaaS. Elle dispose d’un mécanisme de diffusion plus large puisque sa charge utile a été vue dans environ 30 % de toutes les attaques de rançon l’année dernière.
Le groupe effectue des attaques en plusieurs étapes en livrant des charges utiles à l’aide de vecteurs d’infection TrickBot, BazarLoader ou Emolet.
Le système de santé américain a subi une bonne part des attaques des affiliés de Ryuk depuis le début de leurs activités. Leur cadre opérationnel est similaire à celui d’autres attaques de logiciel de rançon. Après avoir compromis les systèmes, elles envoient généralement des messages à la victime pour exiger le paiement d’une rançon et menacer d’exposer les fichiers si la demande n’est pas satisfaite.
L’année dernière, ils ont collecté 34 millions de dollars auprès d’une seule victime. Les chercheurs en sécurité qui surveillent le groupe et suivent les circuits financiers de leurs victimes montrent que le groupe de RaaS a gagné un total combiné d’environ 150 millions de dollars grâce à leur activité de vente de logiciels malveillants.
Les affiliés de Ryuk ont été très actifs l’année dernière, puisqu’ils ont ciblé en moyenne une vingtaine d’entreprises chaque semaine.