Ryuk (logiciel)
Ryuk est un logiciel malveillant de type rançongiciel. Découvert en 2018, il est l'un des rançongiciels les plus actifs à la fin des années 2010 et début des années 2020, pour chiffrer les données de la victime. Il n'y a pas de lien autre que l'emprunt du nom du personnage entre ce rançongiciel et le manga Death Note.
Historique
Il a été observé pour la première fois en août 2018. Il est dérivé d'un logiciel nommé Hermes. Il a été un des éléments d'infection dans des attaques comme celle du système Sopra/Stéria[1] ou dans des dizaines de cyberattaques contre des systèmes d'informations d'hôpitaux, aux États-Unis mais aussi en France (comme l’attaque contre l’hôpital de Villefranche-sur-Saône en février 2021[2]). Il serait en cause dans l'attaque contre l'Association française de normalisation en février 2021[3]. Il se distingue d'autres logiciels du même type du fait qu'il a attaqué des hôpitaux pendant la pandémie de Covid-19. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un rapport en 2020, mis à jour en février 2021, sur ce logiciel Ryuk[4],[5],[6],[7].
L'ANSSI met en garde contre une nouvelle variante du maliciel, observée début 2021, qui le rend capable de se répliquer sur le réseau ciblé. Depuis 2019 déjà, en utilisant la fonction Wake-on-LAN, un ordinateur infecté était capable de démarrer les autres postes du réseau pour propager le code malveillant. Mais l'ANSSI a découvert en plus une nouvelle fonctionnalité du logiciel qui lui permet de se répliquer automatiquement à l'intérieur du réseau compromis[4].
Mode opératoire
Le vecteur d'infection est en général un mail piégé (phishing). Ryuk s'installe ensuite par le biais d'un logiciel malveillant comme TrickBot, Emotet ou Bazar. Il stoppe les services liés à la sécurité (antivirus et sauvegardes) et chiffre les données en combinant les algorithmes AES et RSA. Il épargne les fonctions vitales du système, afin que la victime puisse lire la note de rançon contenue dans chaque dossier chiffré, sous forme d'un fichier RyukReadMe.txt[4].
Ryuk infecte des machines sous Windows. Ses opérateurs attaquent des sociétés en mesure de verser une forte rançon. Le montant exigé est nettement supérieur à celui demandé par d'autres groupes de pirates. Plusieurs attaquants sont impliqués. On a montré du doigt l'État nord-coréen, mais il semble que les cybercriminels soient plutôt originaires de Russie[8].
Références
- Stan Adkens, « Sopra Steria confirme la nouvelle version de Ryuk derrière la cyberattaque sur ses opérations », sur developpez.com, (consulté le )
- « Le ransomware Ryuk traumatise l'hôpital de Villefranche-sur-Saône », Le Monde informatique, (lire en ligne)
- Par Louis Adam | Vendredi 19 Février 2021, « L’Afnor miné par une cyberattaque », sur ZDNet France (consulté le )
- Ryuk, Agence nationale de la sécurité des systèmes d'information, (lire en ligne)
- Louis Adam, « Ryuk : Un ransomware qui détonne », ZDNet, (lire en ligne)
- Martin Untersinger, « Rançongiciels : “Les pirates ont intérêt à ce que la victime récupère ses données” », Le Monde, (lire en ligne)
- Alice Vitard, « Plusieurs hôpitaux américains sont touchés par des ransomwares, alerte le FBI », L'Usine digitale, (lire en ligne)
- (en) « Ryuk ransomware gang probably Russian, not North Korean », sur ZDnet, (consulté le )
- Portail de la sécurité informatique
- Portail de la criminologie