Tout au long de l’année 2019, les entités gouvernementales étatiques, locales, tribales et territoriales (SLTT) sont de plus en plus confrontées à des attaques de ransomware entraînant des temps d’arrêt importants du réseau, des services retardés pour les administrés et des efforts de remédiation coûteux. Actuellement, le ransomware Ryuk est l’une des variantes les plus répandues dans le paysage des menaces SLTT, les infections ayant doublé entre le deuxième et le troisième trimestre de l’année. L’augmentation des infections par Ryuk a été telle que le MS-ISAC a constaté deux fois plus d’infections en juillet qu’au premier semestre de l’année. Rien qu’au troisième trimestre, le MS-ISAC a observé l’activité de Ryuk dans 14 États.
Ce que c’est
Ryuk est un type de crypto-ransomware qui utilise le chiffrement pour bloquer l’accès à un système, un périphérique ou un fichier jusqu’à ce qu’une rançon soit payée. Ryuk est souvent déposé sur un système par d’autres logiciels malveillants, notamment TrickBot, (présenté dans la menace du trimestre dernier) ou accède à un système via les services de bureau à distance. Ryuk exige un paiement en crypto-monnaie Bitcoin et demande aux victimes de déposer la rançon dans un portefeuille Bitcoin spécifique. La demande de rançon se situe généralement entre 15 et 50 bitcoins, soit entre 100 000 et 500 000 dollars, selon la conversion des prix. Une fois sur un système, Ryuk se répand dans le réseau à l’aide de PsExec ou de Group Policy en essayant d’infecter le plus grand nombre possible de terminaux et de serveurs. Ensuite, le malware commencera le processus de cryptage, ciblant spécifiquement les sauvegardes, et les cryptant avec succès dans la plupart des cas.
Ryuk est souvent le dernier élément du malware déposé dans un cycle d’infection qui commence avec Emotet ou TrickBot. Les infections multiples de logiciels malveillants peuvent considérablement compliquer le processus de remédiation. Le MS-ISAC a observé une augmentation des cas où Emotet ou TrickBot sont les infections initiales et où plusieurs variantes de logiciels malveillants sont déposées sur le système, le résultat final étant une infection par Ryuk. Par exemple, le MS-ISAC est récemment intervenu dans un incident où TrickBot a réussi à désactiver l’application antivirus de l’organisation, s’est répandu dans le réseau et a fini par infecter des centaines de points d’extrémité et plusieurs serveurs. Comme TrickBot est un cheval de Troie bancaire, il a probablement récolté et exfiltré des informations de comptes financiers sur les systèmes infectés avant de déposer l’infection par le ransomware Ryuk. Ryuk a été déposé sur l’ensemble du réseau, chiffrant les données et les sauvegardes de l’organisation, laissant des notes de rançon sur les machines.
Comment ça marche
Ryuk se propage principalement via un autre malware le déposant sur un système infecté existant. Trouver le dropper sur un système pour l’analyser est difficile en raison du fait que la charge utile principale le supprime après l’exécution initiale. Le dropper crée un fichier dans lequel la charge utile est enregistrée ; toutefois, si la création du fichier échoue, le dropper tente de l’écrire dans son propre répertoire. Le dropper contient des modules 32 et 64 bits du ransomware. Une fois le fichier créé, le dropper vérifie alors quel processus est en cours d’exécution et écrit dans le module approprié (32 ou 64 bits).
Après l’exécution de la charge utile principale et la suppression du dropper, le malware tente d’arrêter les processus et services liés aux antivirus et aux antimalwares. Il utilise une liste préconfigurée qui peut tuer plus de 40 processus et 180 services par le biais des commandes taskkill et netstop. Cette liste préconfigurée est composée de processus antivirus, de sauvegardes, de bases de données et de logiciels d’édition de documents.
En outre, la charge utile principale est responsable de l’augmentation de la persistance dans le registre et de l’injection de charges utiles malveillantes dans plusieurs processus, tels que le processus distant. L’injection de processus permet au malware d’accéder au service d’ombrage de volume et de supprimer toutes les copies d’ombre, y compris celles utilisées par des applications tierces. La plupart des ransomwares utilisent les mêmes techniques, ou des techniques similaires, pour supprimer les copies d’ombre, mais ne suppriment pas celles des applications tierces. Ryuk y parvient en redimensionnant le stockage du service d’ombrage de volume. Une fois redimensionné, le malware peut forcer la suppression des copies d’ombre des applications tierces. Ces techniques compliquent considérablement le processus d’atténuation, car elles entravent la capacité d’une organisation à restaurer les systèmes dans un état antérieur à l’infection. En outre, le virus s’attaque à de nombreux fichiers ayant des extensions liées à la sauvegarde et à toutes les sauvegardes actuellement connectées à la machine ou au réseau infecté, et les supprime. Ces outils anti-récupération utilisés sont assez étendus et plus sophistiqués que la plupart des types de ransomware, rendant la récupération presque impossible à moins que des sauvegardes externes ne soient sauvegardées et stockées hors ligne.
Pour le chiffrement, Ryuk utilise les algorithmes de chiffrement RSA et AES avec trois clés. Les acteurs de la cybermenace (CTA) utilisent une clé RSA globale privée comme base de leur modèle. La deuxième clé RSA est livrée au système via la charge utile principale. Cette clé RSA est déjà chiffrée avec la clé RSA globale privée du CTA. Une fois que le malware est prêt pour le cryptage, une clé AES est créée pour les fichiers de la victime et cette clé est cryptée avec la deuxième clé RSA. Ryuk commence alors à analyser et à crypter chaque lecteur et partage réseau du système. Enfin, il crée la note de rançon, « RyukReadMe.txt » et la place dans chaque dossier du système.
Recommandations
Les gouvernements des SLTT devraient adhérer aux meilleures pratiques, telles que celles décrites dans les contrôles du CIS, qui font partie de l’adhésion au CIS SecureSuite. Le MS-ISAC recommande aux organisations d’adhérer à la liste complète des recommandations du MS-ISAC Ransomware Security Primer, afin de limiter l’effet et le risque du ransomware Ryuk pour votre organisation
.