Ransomware Ryuk

Intro : Le ransomware Ryuk

Ryuk est un ransomware avancé qui cible les entreprises et autres grandes organisations afin de leur extorquer de grosses sommes d'argent. Depuis 2018, le ransomware Ryuk a réussi à compromettre des écoles, des hôpitaux, des entreprises et d'autres organisations.

Cet article explique en détail ce qu'est le ransomware Ryuk, qui il attaque et cible, et répond à d'autres questions courantes sur le ransomware Ryuk. Il est important que les organisations de toutes tailles comprennent les cybermenaces de l'ère moderne et comment les services de cybersécurité comme Mimecast peuvent aider à atténuer les risques et les dommages causés par les attaques de ransomware. Nous sommes tous des cibles potentielles des attaques par ransomware de Ryuk, mais personne ne doit faire face seul aux menaces de cybersécurité.

Mimecast a pour mission de rassembler toutes les organisations de la communauté des entreprises afin de les protéger contre les attaques de ransomware. Notre mission est de fournir à votre organisation des services qui vous permettent de poursuivre vos activités de manière efficace et sécurisée, tout en donnant à tous les membres de votre équipe les moyens d'identifier, d'éviter et de signaler les cybermenaces potentielles.

Qu'est-ce que le ransomware Ryuk ?

Le ransomware Ryuk est un type de ransomware piloté par l'homme, connu pour cibler les grands cybersystèmes Microsoft Windows. Parce qu'il est actionné par l'homme, il peut passer sous le radar de nombreux protocoles de sécurité de base et infecter rapidement le réseau d'une organisation.

 Après avoir réussi à s'infiltrer dans le réseau privé de l'organisation ciblée, le virus est déployé secrètement et crypte rapidement les fichiers et autres données sensibles, exigeant une rançon pour en débloquer l'accès.

Ryuk infecte les organisations par le biais de campagnes de phishing, en attirant les victimes avec des liens ou des documents contenant des malware. Dès qu'un membre du réseau ouvre ou télécharge le malware, le virus Ryuk commence à crypter les fichiers sur les systèmes infectés. Cela empêche les utilisateurs réguliers d'accéder à leurs propres fichiers et, pour retrouver l'accès, ils sont invités à payer une rançon, généralement dans une monnaie difficile à tracer telle que le bitcoin.

Qui est visé par le ransomware Ryuk ?

Le ransomware Ryuk cible les grandes organisations, à savoir les hôpitaux, les entreprises et les institutions gouvernementales qui utilisent des cybersystèmes Windows et possèdent des actifs critiques, tels que des données confidentielles d'étudiants, de patients, d'employés et de clients.

Les créateurs de Ryuk adoptent généralement une approche de "chasse au gros gibier", ce qui signifie qu'ils ciblent les organisations qui peuvent se permettre de payer une rançon importante.

FAQ sur le ransomware Ryuk

Voici quelques questions fréquemment posées sur le ransomware Ryuk. Si vous avez des questions supplémentaires ou si vous avez besoin d'une réponse immédiate à une menace active de Ryuk, n'hésitez pas à nous contacter.

Pourquoi l'appelle-t-on Ryuk ransomware ?

Le nom Ryuk (prononcé Ree-yook) vient à l'origine d'un personnage de manga japonais de la série Death Note. Le personnage de Ryuk est une créature surnaturelle qui dépose une note dans le monde des humains. La note est ramassée par Light Yagami, le protagoniste humain, qui, en découvrant la note, déverrouille une puissance obscure et se met en tête de changer le monde de façon chaotique. Yagami veut faire le bien et s'attaque aux organisations criminelles qui sont impuissantes face aux pouvoirs surnaturels que lui a conférés Ryuk.

Le ransomware Ryuk fonctionne de la même manière : la cyberattaque commence lorsque les victimes accèdent au malware en cliquant sur des liens et/ou en téléchargeant des fichiers contenant des malwares. Cependant, dans la réalité, le ransomware Ryuk est déployé par des criminels qui extorquent des entreprises et des entités publiques.

Comment Ryuk travaille-t-il ?

• Ryuk fonctionne en chiffrant les fichiers sur les systèmes infectés. Contrairement à d'autres types de ransomwares, Ryuk est piloté par des humains, ce qui le rend plus difficile à détecter de manière autonome. Les cyberattaquants qui exploitent Ryuk interagissent d'une manière qui semble être une activité normale pour les systèmes de sécurité de base. 
  
  Ryuk déploie une campagne de phishing. Il peut s'agir d'envoyer aux utilisateurs des courriels contenant des malwares par le biais de liens et/ou de pièces jointes. Les victimes peuvent également découvrir et télécharger des malwares en naviguant sur l'internet ou en essayant de se connecter à ce qui semble être un réseau WiFi normal.
  
  
• Lorsque la victime clique sur le lien ou ouvre la pièce jointe, la charge utile (cargaison de données utilisée pour interagir de manière malveillante avec l'ordinateur de la victime) est déployée sur l'ordinateur de l'utilisateur. Pour un œil non averti, les téléchargements de charges utiles ressemblent beaucoup aux fichiers Windows habituels.
  
  
• À partir de là, des malwares conçus pour voler les informations d'identification sont déployés, souvent par un malware appelé Trickbot. Dans certains cas, Ryuk est transmis via RDP ou exploit, ce qui en fait une attaque entièrement pilotée par l'homme. Ryuk peut utiliser le mouvement latéral, c'est-à-dire qu'il peut se déplacer d'un appareil à l'autre au sein du réseau. Comme il vole des informations d'identification telles que des mots de passe et des identifiants FTP, son activité n'apparaîtra pas comme inhabituelle à la plupart des contrôleurs de sécurité des réseaux.
  
  Ce processus est exécuté par des opérateurs humains qui recherchent secrètement des faiblesses à exploiter, telles qu'une protection antivirus volontairement désactivée, des identifiants de domaine faibles et/ou des mots de passe d'administrateur local non randomisés.
  
  
• Une fois que Ryuk a contourné la sécurité du réseau, il lance le cryptage des fichiers, ce qui les rend inaccessibles aux utilisateurs du réseau. Il désactive également la restauration de Windows, de sorte que la victime ne peut pas récupérer les fichiers compromis.
  
  
• Les fichiers cryptés conserveront leur nom mais porteront une nouvelle extension, .RYK, indiquant qu'ils ont été cryptés par le virus Ryuk. La victime voit apparaître un message textuel lui demandant de payer en échange du décryptage des fichiers.

Que se passe-t-il en cas d'attaque par le ransomware Ryuk ?

Lors d'une attaque Ryuk, tous les fichiers, y compris les documents, les images, les vidéos, etc. sont cryptés et conservent leur nom d'origine auquel est ajoutée l'extension .RYK. Ryuk peut également identifier et crypter les lecteurs réseau, rendant leurs fichiers et programmes inaccessibles. En outre, Ryuk supprime les copies d'ombre, ce qui rend impossible la récupération des données compromises en l'absence de sauvegardes externes appropriées.

Comment puis-je me protéger contre le ransomware Ryuk ?

Voici quelques conseils de base que vous pouvez suivre pour vous protéger contre le ransomware Ryuk : 

• Utilisez un outil de sécurité fiable: Des outils de sécurité avancés pour les courriels comme Mimecast peuvent aider à prévenir certaines attaques du ransomware Ryuk. Le service de sécurité du courrier électronique de Mimecast, leader sur le marché, bénéficie de la confiance de 40 000 organisations dans le monde entier grâce à ses caractéristiques uniques et conviviales. Par exemple, Mimecast peut non seulement détecter les liens suspects, mais aussi empêcher les utilisateurs de votre organisation de cliquer dessus.
  
  
• Contenir et remédier aux attaques réussies basées sur le courrier électronique : avec les capacités de protection du courrier électronique interne de Mimecast qui peuvent être utilisées pour rechercher et détruire les courriers électroniques malveillants dans les boîtes de réception des utilisateurs. Nos services de continuité peuvent également maintenir le canal de messagerie d'une organisation en fonctionnement lors d'une attaque réussie.
  
  
• Les entreprises peuvent connecter et optimiser leurs écosystèmes de sécurité rapidement et facilement : Le Mimecast Tech Exchange offre une architecture extensible qui aide les organisations à renforcer les protections, à accélérer la détection et la réponse.
  
  
• Exigez une authentification à plusieurs facteurs: L'authentification multi-facteurs rend extrêmement difficile l'accès à distance au réseau interne de votre organisation par des cyber-attaquants.
  
  
• Formation à la sensibilisation à la sécurité: L'un des moyens les plus courants utilisés par les cyberattaquants pour infiltrer les organisations est la campagne de phishing qui incite les individus à cliquer sur des liens ou à télécharger des fichiers contenant des malware. La formation de sensibilisation Mimecast et les bannières d'avertissement CyberGraph donnent aux employés les connaissances nécessaires pour détecter et éviter une grande variété de types d'attaques qui peuvent ouvrir la porte au ransomware.
  
  Nous luttons tous ensemble contre les cyberattaques, et Mimecast’s Awareness Training! vise à donner à chacun les moyens de jouer son rôle pour assurer sa propre sécurité et celle de son organisation. L'essentiel de cette responsabilisation passe par l'apprentissage de l'identification des menaces potentielles, du respect des protocoles de sécurité de base et de la cohésion d'une communauté qui accorde de l'importance à la sécurité. Nous avons également constaté que le rire favorise l'apprentissage. Votre équipe pourrait donc rire un bon coup en regardant nos vidéos de formation ainsi que des conseils sur la façon de protéger votre organisation.
  
  
• Archiver pour protéger les données de l'entreprise : Il n'est pas toujours pratique de sauvegarder toutes vos données sur un support physique externe, tel qu'un disque dur externe. Imaginez que vous puissiez tout stocker dans un coffre-fort numérique sécurisé. C'est précisément ce qu'offre le service de cybersécurité en nuage de Mimecast. Nos capacités Sync & Recover peuvent aider à accélérer le retour à la normale en permettant une restauration ponctuelle des boîtes de réception d'e-mails.

Comment protéger votre entreprise contre le ransomware Ryuk

Le ransomware Ryuk est une menace de cybersécurité qui ne doit pas être prise à la légère, mais avec les protocoles de sécurité appropriés en place, votre organisation sera plus probablement en mesure d'éviter une attaque Ryuk.

Au début de l'année 2021, l'activité de Ryuk était relativement calme, mais elle a augmenté depuis. Un nouveau ransomware similaire, Conti, est de plus en plus répandu. Certains pensent que Conti remplacera bientôt Ryuk en tant que ransomware préféré des cyberattaquants.   

S'il y a une chose à savoir pour se défendre contre Ryuk ou tout autre type d'attaque par ransomware, c'est que les cyberattaquants s'attaquent aux organisations qui présentent des faiblesses évidentes, à savoir un manque de sécurité active et/ou des employés qui n'ont pas été sensibilisés à la sécurité. Le simple fait d'avoir mis en place des protocoles de sécurité robustes montre que votre organisation est sérieuse lorsqu'il s'agit de protéger vos données, vos employés et vos clients.

Avec les programmes de sécurité de Mimecast, nous nous engageons à lutter ensemble contre les escrocs et les cybercriminels. Pour comprendre comment les services de sécurité numérique de Mimecast peuvent aider votre entreprise, obtenez une démonstration de la protection contre les ransomwares Ryuk.