Le Malicieux Ryuk: Combattre Le Ransomware Inspiré Du ‘Death Note’

Il y a toujours un élément de la crypto «Wild West» en 2020, car la crypto-monnaie volée par le biais de hacks et d’attaques de ransomwares est toujours encaissée sur les principales bourses du monde entier. Les attaques de ransomware se sont révélées être une vache à lait lucrative pour les cybercriminels au cours des dernières années, le   Federal Bureau of Investigation des États-Unis estimant que plus de 144 millions de dollars de Bitcoin ont été volés entre octobre 2013 et novembre 2019.

Une conférence de presse organisée par le FBI en février a révélé l’énorme somme versée en rançon aux attaquants par des victimes qui cherchaient désespérément à accéder à leurs systèmes et données infectés. Fait intéressant, les attaquants ont reçu la majorité des rançons en Bitcoin (BTC). Plus récemment, des chercheurs ont prélevé un échantillon de 63 transactions liées aux ransomwares, représentant environ 5,7 millions de dollars de fonds volés, et ont découvert que plus d’un million de dollars de Bitcoin avaient été encaissés sur Binance à la suite d’une série de transactions sur différentes adresses de portefeuille.

Il existe un certain nombre de variantes de ransomwares notoires qui sont utilisées par différents pirates et groupes de cybercriminels. La société de cybersécurité Kaspersky a souligné la hausse de ces types d’attaques ciblant les grandes organisations en juillet, soulignant deux menaces de logiciels malveillants particulières: VHD et Hakuna MATA.

Ces menaces particulières semblent pâles par rapport à la quantité de crypto-monnaie volée grâce à l’utilisation de menaces de logiciels malveillants plus importantes telles que le ransomware Ryuk. Alors, voici pourquoi Ryuk a été une méthode d’attaque préférée et ce qui peut être fait pour empêcher et décourager les attaquants d’encaisser leurs gains mal acquis sur les principales plateformes d’échange.

Le cheval de Troie aux portes de la ville: Ryuk

Ces nouveaux vecteurs d’attaque mentionnés dans le rapport de juillet de Kaspersky n’ont pas tout à fait acquis la même réputation que le ransomware Ryuk. Vers la fin de 2019, Kaspersky a publié un autre rapport mettant en évidence le sort des municipalités et des villes victimes d’attaques de ransomwares. Ryuk a été identifié par la société comme le véhicule privilégié des attaques contre les grandes organisations, les systèmes gouvernementaux et municipaux étant les principales cibles en 2019.

Ryuk est apparu pour la première fois dans la seconde moitié de 2018 et a fait des ravages en se propageant dans les réseaux et systèmes informatiques du monde entier. Nommé d’après le personnage populaire Ryuk de la série manga  Death Note , le malware est une interprétation intelligente du «roi de la mort», qui s’amuse en délivrant une «note de mort» au royaume humain qui permet au chercheur de la note de tuer n’importe qui simplement connaissant leur nom et leur apparence.

Le malware est généralement livré dans une approche en deux phases qui permet aux attaquants d’examiner d’abord le réseau. Cela commence généralement par un grand nombre de machines recevant des e-mails contenant un document que les utilisateurs peuvent télécharger involontairement. La pièce jointe contient un bot malveillant Emotet Trojan qui s’active si le fichier est téléchargé.

La deuxième étape de l’attaque voit le bot Emotet communiquer avec ses serveurs pour installer un autre logiciel malveillant appelé Trickbot. C’est le logiciel qui permet aux attaquants de mener une sonde du réseau.

Si les attaquants touchent un pot de miel proverbial – c’est-à-dire un réseau d’une grande entreprise, d’un bureau gouvernemental ou municipal – le ransomware Ryuk lui-même sera déployé sur différents nœuds du réseau. C’est le vecteur qui crypte réellement les fichiers système et détient ces données contre rançon. Ryuk crypte les fichiers locaux sur des ordinateurs individuels et les fichiers partagés sur un réseau.

En outre, Kaspersky a expliqué que Ryuk a également la capacité de forcer d’autres ordinateurs du réseau à s’allumer s’ils sont en mode veille, ce qui propage le malware sur un plus grand nombre de nœuds. Les fichiers situés sur des ordinateurs sur un réseau en veille ne sont généralement pas accessibles, mais si le malware Ryuk est capable de réveiller ces PC, il cryptera également les fichiers sur ces machines.

Il y a deux raisons principales pour lesquelles les pirates cherchent à attaquer les réseaux informatiques gouvernementaux ou municipaux: Premièrement, bon nombre de ces systèmes sont protégés par une assurance, ce qui rend beaucoup plus probable qu’un règlement monétaire puisse être conclu. Deuxièmement, ces plus gros réseaux sont intrinsèquement liés entre eux avec d’autres grands réseaux, ce qui peut avoir un effet paralysant de grande portée. Les systèmes et les données alimentant des services complètement différents peuvent être affectés, ce qui nécessite une solution rapide, entraînant le plus souvent un paiement aux attaquants.

Combattre l’encaissement sur les grands échanges

L’objectif final de ces attaques de ransomware est assez simple: exiger un paiement important, généralement effectué à l’aide de crypto-monnaies. Bitcoin a été l’option de paiement préférée des attaquants. L’utilisation de la crypto-monnaie prééminente comme méthode de paiement préférée a cependant une conséquence inattendue pour les attaquants, car la transparence de la blockchain Bitcoin signifie que ces transactions peuvent être suivies à la fois au niveau micro et macro.

C’est exactement ce que les chercheurs ont fait, et en examinant le point final de ces transactions, les analystes peuvent voir des attaquants utiliser certains des plus grands échanges de crypto-monnaie. Fin août, il a été révélé que plus d’un million de dollars de Bitcoin rançonné avait été encaissé via Binance.

L’équipe de sécurité de Binance a révélé que ces transactions remontaient à plus de 18 mois et que la bourse surveillait activement les comptes concernés. L’équipe a également souligné l’utilisation de son échange par les attaquants comme étant un sous-produit du volume de crypto-monnaie négocié sur la plate-forme, ce qui donne aux acteurs illicites plus de chance de se fondre dans la foule. Le porte-parole a ajouté:

Cela est encore compliqué par le fait que Binance a une grande variété de clients opérant sur sa plate-forme, certains clients recevant de tels fonds via de simples transactions peer-to-peer, et d’autres recevant via des services d’entreprise qui exploitent notre plate-forme pour la liquidité.

La société de cybersécurité israélienne Cymulate pour savoir ce que les échanges peuvent faire pour mieux empêcher les cybercriminels d’utiliser leurs plates-formes pour liquider la crypto-monnaie volée. Avihai Ben-Yossef, co-fondateur et directeur de la technologie de la société, affirme que les entreprises qui fournissent une protection antivirus et une détection et une réponse des points finaux ont un rôle essentiel à jouer dans le suivi de la crypto rançonnée, étant donné qu’elles connaissent les montants payés et le portefeuille respectif. adresses recevant les fonds rançonnés. Il a ajouté qu’à partir de là, les échanges peuvent suivre et tracer ces paiements:

Les analystes peuvent collecter des numéros de portefeuille et vérifier combien d’argent se trouve dans chaque portefeuille, puis créer une somme de tous les portefeuilles trouvés. Il est important de noter qu’il y en aura toujours plus et que vous devez pouvoir suivre chacun d’eux à partir des charges utiles Ryuk créées.

Il ne fait aucun doute que ce processus peut prendre du temps. Néanmoins, l’utilisation d’adresses de portefeuille par des attaquants pour recevoir des fonds rançonnés permet aux équipes de sécurité de garder un œil sur les mouvements de ces fonds.

Dans l’ensemble, 2020 a été une année rentable pour les cybercriminels qui ont eu recours à des attaques de ransomwares, en constante évolution. Ben-Yossef a averti les organisations et les entreprises de s’assurer qu’elles disposent de la meilleure cybersécurité pour lutter contre l’environnement de la cybercriminalité en constante évolution:

Les attaques de ransomwares en général deviennent de plus en plus sophistiquées. Ils incluent les mouvements latéraux, l’exfiltration de données et bien d’autres méthodes qui ont de graves conséquences pour les entreprises qui ne paieront pas la rançon. Il y a un nouveau successeur de RYUK, Conti, qui est écrit un peu différemment et probablement développé par d’autres pirates. Il est devenu essentiel pour les organisations d’adapter les outils de test de sécurité tels que la simulation de violation et d’attaque pour s’assurer que leurs contrôles de sécurité fonctionnent de manière optimale contre les menaces émergentes.

Laisser un commentaire