Rançongiciel Ryuk
Les cyberattaques se font nombreuses de nos jours, en particulier les rançongiciels, appelés “ransomware” en anglais.
Cette attaque consiste, comme ses cyber consoeurs, à usurper les données personnelles des postes infectés.
Il s’agit donc d’un logiciel caché au sein d’un mail malveillant qui, une fois ouvert, chiffre vos données et bloque l’accès à ces dernières. Une demande de rançon en crypto monnaie est émise par les cybercriminels contre le déchiffrement de vos données, donnant ainsi son nom à cette attaque.
Continuons nos investigations en nous intéressant cette fois-ci au phénoménal rançongiciel Ryuk. Il semble bien parti pour continuer à faire parler de lui, en ayant déjà déboursé 3,7 millions de dollars en bitcoins depuis son apparition.
Repéré pour la première fois au mois d’août 2018, ce dernier exploite de nouveaux stratagèmes :
Cette fois-ci, les cybercriminels ne diffusent pas de malwares sur n’importe quel poste. Ils s’infiltrent durant plusieurs mois de façon très discrète dans des réseaux d’entreprises. Ainsi, ils identifient concrètement quelle stratégie établir pour attaquer les cibles les plus intéressantes et les plus à même de pouvoir payer de grosses rançons.
Selon les chercheurs de Crowdstrike (société américaine spécialisée dans les technologies de cybersécurité), le groupe de pirates “Grim Spider”, qui se cache derrière cette attaque, a eu recours à un Cheval de Troie. Le trojan TrickBot s’introduit dans des machines ciblées par le biais d’un fichier frauduleux joint à un e-mail de phishing.
Généralement dissimulée dans une feuille Excel, ce logiciel malveillant cible une personne précise par e-mail. Si cette dernière ouvre la pièce jointe, elle déverrouille les contenus actifs du document.
Qui se cache derrière le rançongiciel Ryuk ?
Le rançongiciel Ryuk intègrerait un « kill switch » s’activant uniquement selon la localisation de la victime, un comportement qui est assez classique dans l’univers du cybercrime. Ainsi, les pirates évitent de se tirer une balle dans le pied. Par ailleurs, Crowdstrike affirmerait avoir identifié quelques éléments de langage russe dans le code, ainsi qu’un téléchargement suspect provenant de Moscou.
