Archives par mot-clé : ryuk

Ryuk : le gendarme Français de la cybersécurité publie son rapport sur le Ransomware

Dans le courant de la semaine dernière, l’Agence nationale de sécurité des systèmes d’information en abrégé « Anssi » a publié un document relatif à un des programmes informatiques les plus dangereux de ces 10 dernières années : le ransomware Ryuk

L’objectif du document fourni par l’organisme en Français de réponse contre la cybercriminalité vise l’objectif de porter plus d’informations sur le fonctionnement des groupes de cybercriminels qui emploient ce programme malveillant, sur le programme malveillant lui-même et ses conséquences néfastes sur la vie des organismes en ciblés.

Cet article va aussi vous intéresser : Le marché Français face à la cybersécurité selon le rapport ISG Provider Lens™ Cybersécurité – Solutions et Services

Il puise sa source dans le manga death Note, nom d’un célèbre personnage caractérisant le dieu de la mort, qui détient un carnet dans lequel le nom de toute personne qui est inscrite trouve certainement la mort dans une certaine condition. Dans la vraie vie, Ryuk est un dangereux logiciel utilisé par des cybercriminels pour soumettre des systèmes informatiques et soutirer de l’argent aux victimes. Il est classé parmi les logiciel de sa catégorie c’est-à-dire les logiciels de rançons / ransomwares, les plus dangereux qui soient au monde.

Parmi les victimes de ce programme dangereux on peut compter plusieurs grandes, moyennes ou petites entreprises à travers le monde entier, dans différents secteurs et sur tous les continents. À savoir Steelcase, UHS, Sopra Steria

Face à la prolifération des logiciels de ce genre, et les dangers que cela crée, l’Agence nationale de sécurité des systèmes d’information a décidé de mieux informer l’ensemble des secteurs informatiques, en prélude sur ce dangereux rançongiciel. Un document très détaillé pour les entreprises en particulier

« Le rançongiciel Ryuk a été observé pour la première fois en août 2018. C’est une variante du rançongiciel Hermes 2.1, vendu sur le forum souterrain exploit.in à partir de février 2017 par le groupe cybercriminel CryptoTech pour environ 400 dollars », expliques-en ces termes l’organisme public. Il ajoute par ailleurs : « Ryuk se compose d’un dropper, déposant sur le poste de la victime l’une des deux versions d’un module de chiffrement de données (32 ou 64 bit). Le dropper exécute ensuite la charge utile. Après quelques minutes d’inactivité, Ryuk cherche alors à arrêter plus de 40 processus et 180 services, notamment ceux liés aux logiciels antivirus, aux bases de données et aux sauvegardes. Il assure sa persistance par la création d’une clé de registre ».

Si ce programme malveillant sévit dans presque tous les secteurs, le secteur de la santé semble être le plus touché. À cause de sa trop grande exposition du fait de ces événements qui marque le domaine. En effet, la santé représente seulement durant le mois d’octobre, environ 75 % des attaques informatiques enregistrées en France.

Par ailleurs, en début du mois de novembre, il a été constaté par les spécialistes de la sécurité sur près de 1400 hôpitaux, de laboratoires pharmaceutiques, d’universités et organismes gouvernementaux seraient en contact avec des serveurs et plateformes informatiques en étant liés de près ou de loin à un groupe de pirates informatiques connu comme l’un d’opérateur du ransomware Ryuk. « Ryuk demeure un rançongiciel particulièrement actif au cours du second semestre 2020. Il se distingue de la majorité des autres rançongiciels par le fait qu’au moins l’un de ses opérateurs a attaqué des hôpitaux en période de pandémie, par l’absence de site dédié de divulgations de données et par l’extrême rapidité d’exécution (de l’ordre de quelques heures) de la chaîne d’infection Bazar-Ryuk », alerte de ce fait l’Agence nationale de sécurité des système d’information.

« Le vecteur d’infection apparaît généralement être un courriel d’hameçonnage délivrant soit Emotet, soit TrickBot », explique le gendarme de la cybersécurité français. L’organisme précise parce fait que TrickBot est le loader distribuant le plus le programme Ryuk. « Une fois que des outils légitimes de post exploitation sont distribués par TrickBot (Cobalt Strike, Empire, Bloodhound, Mimikatz, Lazagne), les attaquants obtiennent des accès privilégiés à un contrôleur de domaine et déploient Ryuk (par exemple via PsExec) au sein du système d’information de la victime ». Note l’Anssi.

Cependant, il a été remarqué un changement à ce niveau. En effet depuis le mois de septembre 2020, la chaîne d’infection aurait basculé vers BazarLoader-Ryuk à la place de trickbot. À savoir si cela est définitif ou juste temporaire.

Les principaux groupes de pirates informatiques connus à ce jour utiliser ce programme malveillant sont UNC1878 cité plus haut, Wizard Spider, FING, Buer et SilentNight.

Il est vrai que Ryuk ne paraît pas en pratique comme un rançongiciel as a service (RaaS). Toutefois, l’Agence nationale de sécurité de système d’information a remarqué l’implication de plusieurs attaquants, lors d’une chaîne de contamination ayant abouti à l’utilisation de ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : le groupe hospitalier UHS touché par une attaque informatique basée sur Ryuk

C’est l’un des géants dans le secteur hospitalier.

Il est composé de près de 400 établissements de santé, reparti entre les États-Unis et la Grande-Bretagne, avec près de 90 000 employés. Ce géant de la santé réalise en moyenne près de 11 milliards de dollars en terme de revenu annuel. Le groupe Universal Health Services se compte dorénavant parmi les victimes actuellement des attaques au rançongiciel.

Cet article va aussi vous intéresser : En pleine crise de la pandémie du coronavirus, un hôpital Tchèque est victime d’une attaque informatique

L’attaque a débuté par des infections à travers des méthodes classiques de phishing. Les cybercriminels ont utilisé les chevaux de Troie Emotet et Trickbot pour amorcer leur technique.

Au Déclenchement de l’attaque, aucune solution antivirus ne fonctionnait. Toutes les mesures de protection ont littéralement été rendues inopérantes.

Encore une fois, le domaine de la santé est confronté à ce dangereux adversaire. Le groupe UHS qui avait jusque-là réussi à échapper à la menace s’est fait finalement avoir par les cybercriminels.  En l’espèce, c’est le rançongiciel Ryuk qui a été utilisé par les cybercriminels pour mettre à terre son réseau informatique mondiale. Depuis ce dimanche, plusieurs établissements hospitaliers sont devenus incapables de prendre en charge certains de leurs patients obligeant à les transférer vers d’autres sites.  Les établissements touchés se trouvent en Floride, en Californie, en Arizona, à Washington DC et au Texas. Leur système informatique et réseau téléphonique qui sont totalement inopérant. Certains systèmes nécessaires sont hors service tel que la cardiologie la radiologie. Même les laboratoires sont perturbés.

« Dimanche à environ 2 heures du matin, les systèmes de notre établissement ont commencé à s’arrêter. J’étais assis devant mon ordinateur lorsque tout cela a commencé. C’était surréaliste et semblait définitivement se propager sur le réseau », explique un dénommé graynova66 sur la plateforme Reddit. « Toutes les machines de mon département sont des systèmes Dell Win10. Lorsque l’attaque s’est produite, plusieurs programmes antivirus ont été désactivés par l’attaque et les disques durs se sont mis en veille. Après environ 1 minute, les ordinateurs se sont déconnectés et se sont éteints. Lorsque l’on essaie de rallumer les ordinateurs, ils s’éteignent automatiquement ». Ajoute-il.

Le problème a bel et bien été confirmé par le groupe hospitalier. Une source en interne interrogée par le média en ligne BleepingComputer que les cybercriminels ont durant l’attaque renommés tous les fichiers en y ajoutant l’extension .ryk. Une caractéristique propre au rançongiciel Ryuk. Un expert de la cybersécurité du nom de Vitali Kremez, de chez Advanced Intel nous explique que cette attaque informatique a été précédée par une autre mais de l’hameçonnage cette fois ci, comme nous l’avons mentionné plus haut. Cela a eu pour effet d’ouvrir un pont entre le système infecté et un serveur contrôler par les pirates informatiques. Ce qui leur a permis notamment de facilement disséminer des scripts malveillants En passant par PSExec ou de PowerShell Empire.

« Le réseau informatique des installations des services de santé universels (UHS) est actuellement hors ligne, en raison d’un problème de sécurité informatique », déclarait ce lundi UHS dans communiqué. « Nous mettons en œuvre des protocoles de sécurité informatique étendus et travaillons avec diligence avec nos partenaires de sécurité informatique pour restaurer les opérations informatiques le plus rapidement possible. En attendant, nos installations utilisent leurs processus de sauvegarde établis, y compris des méthodes de documentation hors ligne. Les soins aux patients continuent d’être dispensés de manière sûre et efficace. Aucune donnée de patient ou d’employé ne semble avoir été consultée, copiée ou autrement compromise ».

La panne informatique a entraîné le retard fatal de transmission d’analyses, avec les complications qui s’ensuivirent. Selon un dénommé u/SgtHaddix, 4 personnes auraient trouvé la mort au sein des établissements touchés du groupe hospitalier. Cependant aucune relation n’a été établie entre ces mort et la cyberattaque subit le dimanche. Cela rappelle automatiquement la mort d’une patiente hôpital allemand qui avait été touché lui aussi par une attaque au rançongiciel. La cyberattaque a ralenti une opération urgente qu’elle devait subir ce qui a été fatal pour cette dernière.

En outre, le risque demeure. Les établissements de santé sont toujours ciblés, et les conséquences sont de plus en plus graves. Si avant on ne pouvait dénombrer que des pertes financières, aujourd’hui c’est une question de vie humaine qui ont mise sur la sellette.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage