Site icon Sophos News

Les cyberattaques de ransomwares ciblées : après SamSam, le ransomware Ryuk !

ransomware ryuk

Le mois dernier, le monde entier a appris que le FBI pensait avoir identifié les deux personnes responsables des fameuses attaques lancées par le ransomware SamSam.

Vous vous souvenez peut-être que le ransomware SamSam a acquis une certaine notoriété en choisissant, pour leurs demandes de rançon, des cibles vulnérables telles que des hôpitaux, et en lançant des attaques dévastatrices comme celle qui a touché la ville d’Atlanta début 2018.

Comme pour les autres attaques ciblées, SamSam a été déployé manuellement après que les cybercriminels en question se soient infiltrés au sein d’un réseau vulnérable via un port RDP mal protégé. Les attaques méthodiques et patientes menées par le gang SamSam leur ont permis d’extorquer d’énormes sommes d’argent et de récolter près de 7 millions de dollars (environ 6 millions d’euros) depuis décembre 2015.

Comme on pouvait s’y attendre, SamSam a été un peu plus discret depuis la mise en accusation du FBI. Les suspects iraniens sont hors de portée de l’agence, mais ils ont été identifiés, leur fonctionnement a été révélé au grand jour et, pour le moment du moins, leurs activités ont cessé.

Ces révélations ont provoqué apparemment une baisse notable du rendement des attaques SamSam. Après la publication d’une étude approfondie menée par Sophos en août dernier, les revenus mensuels de SamSam ont commencé à diminuer, alors même que la fréquence des attaques semblait augmenter.

Maintenant, SamSam semble s’être retiré du jeu, mais le type d’attaque destructrice et furtive, qu’il incarne pleinement, n’a pas commencé avec SamSam et n’a pas pris fin non plus avec lui. En fait, bien que SamSam se soit montré plutôt abjecte, d’autres types de ransomwares ciblés, tels que Dharma et BitPaymer, ont été déployés plus largement et exigent une rançon plus élevée.

La menace des ransomwares ciblés n’a pas pour autant disparu et continue d’évoluer. En août 2018, alors que l’influence de SamSam commençait à diminuer, un nouveau type de ransomware ciblé est apparu : le ransomware Ruyk !

Le ransomware Ryuk

Le ransomware Ryuk, du nom d’un personnage de la série manga Death Note, constitue une évolution des ransomwares s’appuyant sur les malwares ciblés précédemment cités.

Le ransomware ciblé, de toutes tendances confondues, semble avoir convergé vers une méthode qui, malheureusement fonctionne très bien, et que le ransomware Ryuk utilise également.

Les attaquants procèdent de la manière suivante :

  1. Ils pénètrent dans le réseau de la victime via un mot de passe RDP (Remote Desktop Protocol) faible.
  2. Ils élèvent leurs privilèges jusqu’à atteindre le niveau administrateur.
  3. Ils utilisent leur position privilégiée pour contourner les logiciels de sécurité.
  4. Ils répandent leurs ransomwares, le plus possible, avant de chiffrer les fichiers de la victime.
  5. Ils laissent une demande de rançon exigeant un paiement en échange du déchiffrement des fichiers.
  6. Ils attendent que la victime communique avec eux par emails.

Les pirates utilisant des ransomwares ciblés s’efforcent d’obtenir un accès administrateur, car cela leur permet de générer tellement de dégâts, que la seule solution pour les nombreuses victimes sera de payer des rançons à cinq ou six chiffres.

Comme ses pairs, le gang derrière le ransomware Ryuk semble rechercher des cibles qui peuvent payer ce genre de rançon hallucinante, et ces dernières faisaient partie des secteurs des biens de consommation, de la production industrielle, sans oublié le domaine de la santé.

Lorsqu’il est lancé, le ransomware Ryuk lâche et exécute sa charge virale avant de dissimuler ses traces en se supprimant lui-même. Le payload se cache en s’injectant lui-même dans les processus exécutés par NT AUTHORITY, en prenant soin d’éviter csrss.exe, explorer.exe et lsass.exe.

Pour optimiser les dommages qu’il peut causer, le malwares tente de stopper une longue liste de processus et de services, tels que ceux associés aux logiciels de sécurité, avant de commencer à chiffrer les fichiers.

Le chiffrement du ransomware Ryuk semble être basé sur du code trouvé dans un ancien ransomware, appelé Hermes, et considéré par certains comme un produit du groupe de pirates nord-coréens Lazarus.

Selon les SophosLabs, les deux familles de ransomware utilisent une logique de chiffrement similaire, utilisent le même marqueur de fichier pour les fichiers chiffré, utilisent la même liste d’autorisation pour décider quels répertoires ne doivent pas être chiffrés, et écrivent un fichier batch script dénommé window.bat.

Et, comme Hermes, lorsque le ransomware Ryuk a fini de chiffrer les fichiers d’un ordinateur, il tente de supprimer les Shadow Copies, l’empêchant ainsi la restauration des fichiers à un moment précis situé avant l’attaque.

Un autre héritage d’Hermès est que Ryuk a écrit la séquence HERMES dans les fichiers chiffrés, afin d’identifier les fichiers déjà chiffrés.

En excluant de son chiffrement les répertoires portant des noms tels que Chrome, Mozilla et Windows, ainsi que les fichiers dotés des extensions .dll, .lnk, .hrmlog, .ini ou .exe, le malware ne s’attaquent pas aux navigateurs ni aux composants de base du système d’exploitation. Les victimes disposent de suffisamment de marge de manœuvre pour lire une demande de rançon, acheter de la crypto-monnaie et payer une rançon, mais rien de plus !

Les demandes de rançon sont laissées, au niveau du réseau affecté, sous une forme courte et longue, la version courte présentant une forte similitude avec les demandes de rançon laissées par le ransomware BitPaymer.

La demande de rançon du ransomware Ryuk (version courte)

Votre réseau a été piraté. 

Tous les fichiers sur chaque hôte du réseau ont été chiffrés avec un algorithme puissant. 

Les sauvegardes ont été chiffrées ou supprimées ou bien les disques de sauvegarde ont été formatés.

Les shadow copies étant également supprimées, la touche F8 ou l’utilisation d’une toute autre technique 
pourrait endommager les données chiffrées sans vous permettre pour autant de les récupérer. 

Nous sommes les seuls à posséder le logiciel de déchiffrement adapté à votre situation.

Aucun logiciel de déchiffrement n'est disponible sur le marché. 

PAS DE RESET OU D’ARRET : les fichiers pourraient être endommagés.

NE PAS RENOMMER OU DÉPLACER les fichiers chiffrés et readme.

NE PAS SUPPRIMER les fichiers readme. 

Cela pourrait entraîner l'impossibilité de récupérer certains fichiers. 

Pour obtenir des informations (déchiffrer vos fichiers), contactez-nous à l'adresse ████████@protonmail.com 
ou 
████████@tutanota.com 

Portefeuille BTC:████████████████████████████████

Ryuk

La demande  de rançon BitPaymer

Votre réseau a été piraté. 

Tous les fichiers sur chaque hôte du réseau ont été chiffrés avec un algorithme puissant. 

Les sauvegardes ont été chiffrées ou supprimées ou bien les disques de sauvegarde ont été formatés. 

Nous sommes les seuls à posséder le logiciel de déchiffrement adapté à votre situation. 

PAS DE RESET OU D’ARRET : les fichiers pourraient être endommagés.

NE RENOMMEZ PAS les fichiers chiffrés et readme.

NE DÉPLACEZ PAS les fichiers chiffrés et readme. 

NE SUPPRIMEZ PAS les fichiers readme. 

Cela pourrait entraîner l'impossibilité de récupérer certains fichiers. 

Pour obtenir des informations (payer pour déchiffrer vos fichiers), contactez-nous à l'adresse suivante: 
████████@protonmail.com 
ou 
████████@tutanota.com 

Portefeuille BTC:████████████████████████████████ 

Pour confirmer nos intentions honnêtes.Envoyez 2 fichiers aléatoires et différents et vous obtiendrez leur déchiffrement.
Ils peuvent provenir de différents ordinateurs au sein de votre réseau afin de vous prouver notre capacité à tout déchiffrer.
Les fichiers doivent avoir les extensions .locked et .readme_txt incluses.

Ces 2 fichiers seront déchiffrés gratuitement. 

CLÉ: AQIAAAFoAAAAAAAAAPIQDDD0QXLNWN] Vc26GOQ1RI / n8SwuHzWbXD] Ym3 + TnvL69poNWPnnZVBNdoProXalFT4B0HvYRdf7T + 
UPqhISUdsqzsVMZhblWz57z7R5LkHAN] s3VY3wg63BIrl9UVCHOlAjcjzIPm6B3uTFSNo2pe0OwYcir7yXz5qjMImVQw =

Le ransomware Ryuk demande une rançon allant de 15 à 50 bitcoins (entre 44 000 et 150 000 euros), avec une augmentation de 0,5 bitcoin par journée de retard de paiement.

À la différence de SamSam, qui gérait les paiements des demandes de rançon à l’aide d’un site web sur le Dark Net, accessible par tous les utilisateurs connaissant l’adresse, chaque attaque du ransomware Ryuk est associée à une adresse électronique et à un identifiant Bitcoin uniques. Les négociations et les paiements sont donc plus difficiles à suivre, mais on sait que le ransomware Ryuk a gagné plus de 600 000 dollars (environ 624 000 euros) en deux semaines en août dernier.

Les paiements en Bitcoin étant publics, dans un but évident de rendre les transferts d’argent plus difficile à suivre, les rançons de Ryuk sont sous-divisées en nouvelles adresses Bitcoins, et ce à de nombreuses reprises. Chaque sous-division voit le contenu d’une adresse divisé en 2 parties de 25% et 75%, chaque partie étant transférée vers une nouvelle adresse jusqu’à ce que les fonds à une adresse donnée soient devenus négligeables.

Quoi faire ?

La similarité d’approche adoptée par différents groupes de ransomwares ciblés relève de la convergence. Ils adoptent la même méthode parce qu’elle leur procure un meilleur équilibre entre risque et récompense.

Cette homogénéité confère un avantage aux défenseurs : la même prudence et les mêmes précautions nécessaires pour empêcher une attaque lancée par un type de ransomware ciblé sont sensiblement les mêmes que celles requises pour arrêter tous les autres. Pour en savoir plus sur nos conseils en matière de sécurité, consultez l’article : Ransomware SamSam : Comment se protéger ?

Enfin, pour obtenir plus d’informations sur le fonctionnement des attaques par ransomware ciblées et sur la manière de les combattre, consultez le rapport 2019 des SophosLabs sur les menaces.


Billet inspiré de After SamSam, Ryuk shows targeted ransomware is still evolving, sur Sophos nakedsecurity.

Exit mobile version