Ryuk est un ransomware actif depuis 2018, et dont les opérateurs sont particulièrement actifs. C’est notamment ce qui lui a valu le titre de « ransomware le plus rentable », selon le FBI en 2018, ayant généré plus de 61 millions de dollars de rançons entre février 2018 et octobre 2019.
Ryuk ne reprend pourtant pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil : pas de chantage au vol de données, pas de site pour afficher les victimes ni de communiqués de presse ici. Pourtant, ce ransomware actif depuis maintenant deux ans reste une menace de premier ordre et l’Anssi a publié un rapport faisant le point.
Ryuk est un ransomware dont le but est de chiffrer les données de la victime afin de lui demander une rançon. L’Anssi indique que les cibles privilégiées par les opérateurs de ce ransomware sont de grosses entreprises capables de débourser les rançons importantes demandées, principalement situées aux Etats-Unis et au Canada. L’agence note également que les opérateurs de Ryuk n’ont pas les réserves d’autres groupes à l’égard des établissements de santé : « en octobre 2020, Ryuk serait responsable de 75 % des attaques sur le secteur de la santé, secteur qu’il attaquerait depuis le premier semestre 2019 ». Plusieurs dizaine d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début du mois d’octobre visant les services des hôpitaux UHS. Le FBI et la CISA américaine a d’ailleurs alerté sur les risques de nouvelles attaques basée sur Ryuk dans une nouvelle notice d’information publiée à la fin du mois d’octobre.
Trickbot, Emotet et le Bazar
Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection par plusieurs logiciels malveillants. Les auteurs du rapport indiquent que l’infection par Trickbot aurait été, au moins jusqu’à septembre 2020, la voie d’entrée privilégiée par les opérateurs de Ryuk pour mettre le pied dans les réseaux d’entreprises. Trickbot, aux cotés d’Emotet et de nombreux autres, est un logiciel malveillant de type « loader », généralement propagé au travers de campagnes d’e-mails malveillants afin d’infecter l’appareil d’une cible, puis de se propager dans le réseau interne d’une entreprise victime et de se déplacer jusqu’à compromettre un contrôleur de domaine. La dernière étape est le déploiement du ransomware, le chiffrement des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs de Ryuk se distinguent par leur rapidité : l’Anssi indique ainsi que dans certains cas, « le délai entre l’infection initiale et le chiffrement s’est réduit de quelques jours (2 à 5) à trois heures ».
Au cours de l’année 2020, les opérateurs de Ryuk semblent néanmoins s’être progressivement tournés vers un nouveau loader, connu sous le nom de BazarLoader, actif depuis le mois de mars 2020. « Bazar serait, tout comme TrickBot, utilisé comme access-as-a-service pour compromettre, voire qualifier, un SI pour le compte d’autres groupes d’attaquants. Il n’est pas connu si BazarLoader fonctionne, là aussi tout comme TrickBot, également sur un modèle d’affiliés », indique l’agence, qui précise que le logiciel est notamment distribué par le groupe à l’origine de Trickbot. D’autres loaders ont également été identifiés dans des attaques impliquant Ryuk : le logiciel malveillant Buer et le logiciel Silent Night ont également été utilisés dans le cadre d’attaque déployant Ryuk.
Raas or not Raas, telle est la question
La question du modèle économique de Ryuk est l’un des points différenciant Ryuk du reste de l’écosystème cybercriminel des groupes de ransomware. Pour de nombreux ransomwares ayant émergé au cours des derniers mois, le modèle économique retenu est généralement celui du RaaS (Ransomware as a service) : le groupe à l’origine du rançongiciel commercialise sur des forums clandestins son logiciel à d’autres groupes, qui se chargent ensuite de le diffuser au sein des réseaux informatiques de leurs victimes.
Pour l’Anssi, Ryuk « n’est pas officiellement un RaaS » : l’agence indique ainsi n’avoir constaté aucune promotion des opérateurs de Ryuk sur des forums clandestins. Ryuk n’en reste pas moins exploité par plusieurs acteurs malveillants, selon l’Anssi. Si celui-ci n’est pas vendu au tout venant, il pourrait être mis à disposition de partenaires de confiance par le créateur du code malveillant, ou bien exploité de manière indépendante par plusieurs groupes ayant recours à des outils et des méthodes de propagation communes.
Difficile donc de savoir qui exactement tire les ficelles de Ryuk : le rapport de l’agence met en avant le rôle central de deux acteurs malveillants, le groupe WizardSpider à l’origine de Trickbot, et le groupe identifié sous le nom UNC1878. Selon FireEye, ce dernier groupe serait à l’origine de 83 % des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la propagation du ransomware Ryuk, ainsi que des similarités de code et de méthodes entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas « officiellement un RaaS », il n’en reste donc pas moins un acteur profondément ancré dans la sphère cybercriminelle et disposant de liens nombreux avec des groupes tiers.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "http://connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));