La croissance explosive du ransomware Ryuk a entraîné une augmentation massive de 40 % du nombre total d’attaques de ransomwares signalées au troisième trimestre 2020 par rapport à la même période en 2019, portant le total mondial à plus de 200 millions.

Bien que le ransomware Ryuk ne soit pas totalement nouveau (il est apparu pour la première fois en 2018), les douze derniers mois ont vu sa popularité monter en flèche auprès des cybercriminels. Les derniers chiffres montrent que les détections de Ryuk sont passées de seulement 5 123 au 3e trimestre 2019 à plus de 67 millions au 3e trimestre 2020, soit environ un tiers de toutes les attaques de ransomwares menées au cours du trimestre!

Qu’est-ce que le ransomware Ryuk et comment les criminels l’utilisent-ils pour cibler des organisations, en particulier dans le secteur de la santé ?

Qu’est-ce que Ryuk ?

Ryuk est un type de ransomware très sophistiqué qui est utilisé pour cibler des organisations du monde entier. Il leur bloque l’accès à leurs réseaux informatiques et à leurs fichiers jusqu’à ce qu’une rançon soit payée.

Une fois déployé, Ryuk chiffre tous les fichiers cibles à l’aide d’un cryptage fort basé sur AES-256, à l’exception de ceux avec les extensions dll, lnk, hrmlog, ini et exe. Il ignore également les fichiers stockés dans les répertoires Windows, System32, Chrome, Mozilla, Internet Explorer et Corbeille. Ces règles d’exclusion visent vraisemblablement à préserver la stabilité du système, et à permettre aux victimes d’accéder à un navigateur et de l’utiliser pour procéder au paiement de la rançon. Comme beaucoup de programmes de ransomware, Ryuk tente également de supprimer les instantanés du volume piraté afin d’empêcher les victimes de récupérer leurs données par d’autres moyens.

Lorsque la victime a été infectée, les auteurs de l’attaque mettent au point leur demande de rançon en fonction de leur perception de la capacité de payer de la victime. Selon les chercheurs, la rançon moyenne collectée se monte à environ 750 000 $ (payés en Bitcoin), mais le paiement le plus élevé connu à ce jour serait un poignant montant de 34 millions de dollars, payé par une société inconnue en échange de la clé de déchiffrement.

Le groupe russe derrière les attaques est connu pour utiliser des techniques de piratage manuel très efficaces et des outils open source pour se déplacer latéralement à l’intérieur de réseaux compromis. Cela les aide à accéder à autant de zones administratives que possible, ainsi qu’à effacer ou couvrir leurs traces avant de déclencher le ransomware, avec des résultats dévastateurs.

Qui est ciblé ?

Les données montrent qu’un large éventail de secteurs est visé, mais l’une des cibles principales semble être les prestataires de soins de santé et de services sociaux, dont beaucoup sont particulièrement vulnérables en ce moment en raison de la pandémie de coronavirus en cours. En effet, les hôpitaux et les établissements de soins de santé disposent souvent d’une abondante infrastructure de réseau désuète, insuffisamment protégée contre les cyberattaques de cette nature. Combinez cela au chaos et à l’épuisement des ressources qu’entraîne la pandémie, et vous obtenez des victimes idéales.

Au cours des derniers mois, des attaques ont perturbé les hôpitaux du monde entier, avec des conséquences fatales. En septembre, une attaque a désactivé les systèmes informatiques du Centre hospitalier universitaire de Düsseldorf en Allemagne, entraînant la mort d’une patiente alors que les médecins tentaient de la transférer hors de l’établissement. On pense également que Ryuk est à l’origine de la récente attaque de ransomware contre les UHS (Universal Health Services), qui gèrent environ 400 hôpitaux et centres de soins aux États-Unis et au Royaume-Uni, ce qui en fait l’une des plus grandes cyberattaques médicales de l’histoire des États-Unis.

Comment les organisations peuvent-elles se protéger efficacement ?

Heureusement, le secteur de la cybersécurité a pris de nombreuses mesures pour aider les organisations à se défendre face à la montée en puissance de Ryuk. De nombreux fournisseurs de protection avancée contre les menaces (ATP) tels que Digital Guardian ont déjà publié des packs de politiques gratuits qui permettent aux clients de mettre à jour leurs outils et solutions de sécurité existants afin de détecter rapidement les activités reconnaissables sur le réseau qui trahissent une attaque potentielle en cours. Parmi ces signatures se trouvent l’édition de fichiers en masse sur des extensions de ransomware Ryuk connues, la suppression des instantanés de volume et les tentatives de connexion à une infrastructure de commande et de contrôle connue associée à la campagne de ransomware. Ailleurs, les organisations peuvent mettre en œuvre les étapes simples suivantes pour renforcer leurs défenses de cybersécurité contre des menaces comme Ryuk :

* Planifier des sauvegardes de données régulières : la réalisation de sauvegardes régulières de toutes les données clés de l’organisation est l’un des meilleurs moyens de minimiser les perturbations en cas de violation réussie. Le stockage sécurisé de ces sauvegardes loin du réseau principal empêchera leur suppression ou leur chiffrement en cas d’attaque.

* Maintenir les correctifs de sécurité à jour : comme indiqué ci-dessus, les fournisseurs de cybersécurité connaissent déjà bien Ryuk et la grande majorité d’entre eux ont mis à jour leurs produits et solutions pour détecter ses signatures. Toutefois, ces mises à jour ne prennent effet que si les clients installent les derniers correctifs de sécurité sur leurs réseaux. Pour cette raison, il est essentiel que ces correctifs soient installés dès leur publication.

* Former les employés à la cybersécurité : même les cybermenaces avancées reposent souvent sur les méthodes les plus élémentaires pour infiltrer une cible en premier lieu, telles que les e-mails d’hameçonnage et l’ingénierie sociale. En organisant régulièrement des sessions de formation et en apprenant au personnel à identifier ces méthodes et à s’en prémunir, les organisations de toutes formes et tailles peuvent s’épargner l’énorme casse-tête qu’entraîne une cyberattaque réussie.

Le ransomware Ryuk représente une menace très réelle pour les organisations du monde entier, en particulier celles du secteur de la santé et des services sociaux, dont beaucoup sont particulièrement vulnérables en ce moment. Heureusement, il existe tout un éventail de mesures efficaces pouvant être prises pour renforcer la protection contre cette menace. La balle est dans le camp de chaque organisation.
À elles de s’assurer qu’elles ont évalué leur protection existante, identifié les vulnérabilités et implémenté les correctifs appropriés avant qu’il ne soit trop tard.
___________________

 Par Tim Bandos, RSSI chez Digital Guardian