Le tristement célèbre ransomware Ryuk a reçu une mise à jour importante, l'équiper d'une nouvelle capacité de travail. La capacité permet au ransomware de se propager sur les réseaux compromis, le rendant encore plus dangereux.
Ryuk ransomware mis à jour avec une nouvelle capacité semblable à un ver
L'opération de rançongiciel Ryuk est l'une des campagnes les plus réussies en termes de réussite financière. Les cybercriminels ont fait plus de $150 millions de Bitcoin provenant de paiements de rançon, principalement fabriqués par des organisations du monde entier.
La nouvelle capacité malveillante du ransomware était déterré par l'ANSSI. «Un échantillon Ryuk avec des capacités de type ver lui permettant de se propager automatiquement au sein des réseaux qu'il infecte,a été découvert lors d'un incident géré par l'ANSSI début 2021 », partagent les chercheurs.
Le rapport avertit également que le ransomware reste actif, cibler les hôpitaux pendant la pandémie. Ryuk est également connu pour cibler d'autres organisations, comme Système judiciaire de la Géorgie.
Capacités de ransomware de Ryuk
Le ransomware contient un compte-gouttes qui supprime l'une des deux versions d'un module de chiffrement de données (32- ou 64 bits) sur le système ciblé. Puis, le compte-gouttes exécute la charge utile. Après une courte pause, le ransomware arrête plus de 40 processus et 180 services, en particulier ceux liés aux logiciels antivirus, bases de données, et sauvegardes, L'ANSSI met en garde. La persistance est obtenue grâce à la création d'une clé de registre.
En termes de cryptage, Ryuk utilise une combinaison de symétrique (AES) et asymétrique (RSA) Les algorithmes de chiffrement. Cette combinaison crypte non seulement les fichiers mais protège également la clé de cryptage, rendant impossible pour un tiers de déchiffrer les données.
Ryuk ransomware dans les campagnes précédentes
L’une des mises à jour précédentes du Ryuk comprenait l’ajout de une capacité de liste noire IP. Cette capacité lui a permis de vérifier la sortie du paramètre «arp –a» pour des chaînes d'adresses IP spécifiques.
Au cas où ces chaînes seraient trouvées, le ransomware ne crypterait pas les fichiers sur cet ordinateur. Les fichiers ont reçu le .l'extension RICHE en tant que secondaire, sans modifications apportées au nom d'origine d'un fichier crypté.