Les cyberattaques deviennent de plus en plus sophistiquées et dangereuses, avec des conséquences graves pour les entreprises et gouvernements. L’une des formes d’attaque les plus répandues et redoutées est le ransomware, un logiciel malveillant qui verrouille les fichiers d’un utilisateur ou d’une organisation et demande une rançon pour les déverrouiller.
Parmi les différents types de ransomware, le Ryuk a fait couler beaucoup d’encre jusqu’à fin 2020.
Nous décortiquerons ici les caractéristiques de ce ransomware particulièrement redoutable qui semble dorénavant faiblement actif et donnons quelques pistes pour réagir.
Table des matières
ToggleHistorique et origines du Ryuk ransomware
Le ransomware Ryuk a été découvert pour la première fois en août 2018, et a rapidement fait parler de lui en raison de sa capacité à infecter des organisations importantes dans divers secteurs économiques. Le Ryuk a été attribué à un groupe de pirates russes WIZARD SPIDER.
Variante de l’ancien ransomware Hermes, Ryuk arrive en tête de la liste des attaques de ransomware les plus dangereuses. Dans le rapport mondial sur les menaces CrowdStrike 2020, Ryuk représente trois des 10 plus grandes demandes de rançon de l’année : 5,3 millions USD, 9,9 millions USD et 12,5 millions USD. Ryuk a réussi à attaquer des industries et sociétés du monde entier. Les pirates désignent la pratique de ciblage des grandes sociétés par le nom de « big game hunting » (BGH).
Fait intéressant, cette famille de ransomware porte un nom japonais issu de l’anime Death Note. Son nom signifie « cadeau de Dieu », un choix étrange pour un ransomware, étant donné que les cibles perdent des données ou de l’argent. Mais du point de vue du pirate, il peut être considéré comme un cadeau de Dieu.
Ryuk, WannaCry, NotPetya : les pioniers remarqués de la montée en puissance des ransomwares
Bien que le Ryuk ne soit pas le premier ransomware à causer des ravages, il s’est distingué par rapport aux autres ransomwares tels que WannaCry et NotPetya.
En effet, au lieu de viser les particuliers et les petites entreprises, le Ryuk est (était ?) conçu pour s’attaquer aux organisations disposant de ressources financières importantes et d’une infrastructrure informatique vitale.
Les pirates semblent également sélectionner soigneusement leurs cibles, ce qui peut atténuer la propagation du ransomware tout en maximisant l’impact sur les victimes choisies.
Comment fonctionne le Ryuk ?
L’implantation de ce logiciel de rançon ne se fait pas immédiatement ; elle débute par l’installation préalable d’autres logiciels malveillants sur un système informatique. Cette action suit généralement une attaque de hameçonnage (phishing), qui rend plus aisée l’infection primaire.
Ryuk est reconnu comme l’un des exemples les plus notoires de ransomware en tant que service (RaaS), en termes d’étendue d’infection. Le concept de RaaS est un modèle où les créateurs de ransomware le rendent accessible à d’autres cybercriminels. En retour, le développeur perçoit une part des rançons payées. Cette approche est une variante du modèle de logiciel en tant que service (SaaS).
Les conséquences des attaques Ryuk
Le principal objectif du Ryuk reste simple : extorquer un maximum d’argent. Les victimes sont généralement confrontées à une demande de rançon pour récupérer leurs données cryptées et déverrouiller leurs systèmes.
Le montant demandé varie, mais il peut facilement atteindre des sommes record…
Ryuk a compromis des gouvernements, des universités, des établissements de santé, des entreprises manufacturières et des organisations technologiques jusqu’à la fin de l’année 2020 avant de de se faire très discret et de peut-être se réinventer en tant que Conti ransomware ? Toujours est-il qu’en 2019, Ryuk a connu la plus forte demande de rançon, avec 12,5 millions USD, et a probablement récolté un total de 150 millions USD jusqu’à fin 2020.
Quelle que soit la souche de ransomware, payer la rançon donne souvent lieu à un dilemme moral pour les entreprises surtout lorsque les sommes en jeu sont considérables, comme c’est le cas avec un ransomware tel que Ruyk.
D’un côté, ces structures ne veulent pas encourager le financement d’organisations criminelles en payant. De l’autre, elles doivent tenir compte des coûts et pertes engendrés par des systèmes informatiques inaccessibles et des opérations paralysées.
Outre les pertes financières, les victimes d’un tel rançongiciel peuvent également subir des dommages réputationnels, une perte de confiance de la part des clients et partenaires, et potentiellement des complications juridiques liées aux violations de données.
Si vous faites face à une telle situation nous vous recommandons de nous contacter rapidement. Vous pouvez également consulter notre guide des premières démarches à envisager en cas d’incident.