Le rançongiciel Ryuk a gagné en popularité parmi les cybercriminels. Le nombre d'attaques détectées est passé de seulement 5.123 3 au troisième trimestre 2019 à plus de 67 millions au troisième trimestre 3, selon une étude de sécurité de SonicWall.
Cela équivaut à environ un tiers de toutes les attaques de ransomwares menées ce trimestre. L'explosion de Ryuk a également entraîné une augmentation de 3 % du nombre total d'attaques de ransomware signalées au troisième trimestre 2020 par rapport à la même période en 2019.
Ryuk ransomware extrêmement populaire
Ryuk est un type sophistiqué de rançongiciel utilisé contre des organisations du monde entier pour les empêcher d'accéder à leurs réseaux et fichiers informatiques jusqu'à ce que la rançon demandée soit payée. Ryuk crypte tous les fichiers cibles avec un cryptage fort basé sur AES-256, à l'exception des fichiers avec les extensions dll, lnk, hrmlog, ini et exe. Ryuk ignore également les fichiers stockés dans les répertoires Windows System32, Chrome, Mozilla, Internet Explorer et Recycle Bin. Ce processus d'élimination est censé préserver la stabilité du système et permettre aux victimes d'accéder à un navigateur pour effectuer des paiements de rançon. Comme de nombreux ransomwares, Ryuk tente de supprimer les clichés instantanés de disque pour empêcher les victimes de récupérer leurs données par d'autres moyens.
Rançon moyenne : 750.000 XNUMX $
Après avoir réussi à infecter les systèmes cibles, les auteurs demandent une rançon correspondant au montant estimé de la capacité de paiement des victimes. Selon les chercheurs, la rançon moyenne collectée est d'environ 750.000 34 $ (payée en Bitcoin). Cependant, le paiement connu le plus élevé à ce jour est estimé à XNUMX millions de dollars soumis par une société inconnue en échange de la clé de déchiffrement.
Le groupe russe à l'origine des attaques est connu pour utiliser des techniques de piratage manuel très efficaces et des outils open source pour se déplacer latéralement sur des réseaux compromis. Cela aide les cybercriminels à accéder à autant de zones administratives que possible et à supprimer ou couvrir leurs traces avant de faire exploser le ransomware avec des conséquences dévastatrices.
Quelles sont les cibles visées par les cybercriminels
Les cybercriminels ciblent un large éventail de secteurs avec Ryuk. L'une des cibles est les établissements de santé, dont beaucoup sont particulièrement vulnérables. Après tout, les hôpitaux et les établissements de santé disposent souvent d'une multitude d'infrastructures réseau obsolètes qui ne sont pas suffisamment protégées contre de telles cyberattaques.
Ces derniers mois, les attaques contre les hôpitaux du monde entier ont provoqué des perturbations. En septembre 2020, une attaque a paralysé les systèmes informatiques de l'hôpital universitaire de Düsseldorf et entraîné la mort d'un patient qui a dû être transporté vers un hôpital plus éloigné au lieu de la clinique voisine. On pense également que Ryuk est à l'origine de la récente attaque de ransomware contre Universal Health Services (UHS), qui exploite environ 400 hôpitaux et centres de soins aux États-Unis et au Royaume-Uni, faisant de l'attaque l'une des plus grandes cyberattaques de soins de santé de l'histoire de l'histoire des États-Unis. .
Ce que les organisations peuvent faire pour protéger
Tim Bandos, responsable de la sécurité de l'information chez Digital Guardian
L'industrie de la cybersécurité a déjà pris de nombreuses mesures pour aider les organisations à se défendre contre la montée de Ryuk. Par exemple, de nombreux fournisseurs de protection avancée contre les menaces (ATP) ont publié des packs de politiques gratuits que les clients peuvent utiliser pour mettre à niveau leurs outils et solutions de sécurité existants afin de détecter rapidement une activité réseau suspecte qui indique une attaque potentielle de Ryuk. Celles-ci incluent la détection de l'édition en masse de fichiers avec des extensions de ransomware Ryuk connues, la suppression des clichés instantanés de volumes et les tentatives de connexion à l'infrastructure de commande et de contrôle connue associée à la campagne de ransomware. De plus, les organisations peuvent prendre les mesures de base suivantes pour renforcer leurs défenses de cybersécurité contre des menaces telles que Ryuk :
Sauvegardes régulières des données
L'exécution de sauvegardes régulières de toutes les données organisationnelles critiques est l'un des meilleurs moyens de minimiser les perturbations des flux de travail en cas d'attaque réussie. Garder ces sauvegardes sécurisées hors du réseau principal les empêche d'être supprimées ou chiffrées dans le cadre d'une attaque.
Tenir à jour les correctifs de sécurité
Comme mentionné, les fournisseurs de services de cybersécurité sont déjà bien informés sur Ryuk, et la grande majorité ont mis à jour leurs produits et solutions pour détecter les signatures de Ryuk. Cependant, ces mises à jour ne prendront effet que lorsque les clients installeront les derniers correctifs de sécurité sur leurs réseaux. Par conséquent, il est crucial que ces correctifs soient installés dès leur publication.
Sensibiliser les employés à la cybersécurité
Même les cybermenaces avancées reposent encore souvent sur les vecteurs d'attaque les plus élémentaires comme les e-mails de phishing et les tactiques d'ingénierie sociale. Les employés devraient donc recevoir des formations régulières sur la façon de reconnaître ces attaques.
Ryuk représente une forte menace pour les organisations du monde entier, en particulier les établissements de santé, dont beaucoup sont particulièrement vulnérables en ce moment. Par conséquent, il est important que les organisations évaluent leurs protections existantes, identifient les vulnérabilités et mettent en œuvre les bonnes mesures correctives pour atténuer les risques de ces attaques.
En savoir plus sur DigitalGuardian.com
À propos de Digital Guardian Digital Guardian offre une sécurité des données sans compromis. La plate-forme de protection des données fournie dans le cloud est spécialement conçue pour empêcher la perte de données due aux menaces internes et aux attaquants externes sur les systèmes d'exploitation Windows, Mac et Linux. La plate-forme de protection des données Digital Guardian peut être déployée sur le réseau de l'entreprise, les terminaux traditionnels et les applications cloud. Depuis plus de 15 ans, Digital Guardian permet aux entreprises gourmandes en données de protéger leurs actifs les plus précieux sur une base de service SaaS ou entièrement géré. La visibilité des données unique et sans politique et les contrôles flexibles de Digital Guardian permettent aux organisations de protéger leurs données sans ralentir leurs opérations commerciales.