Le ransomware le plus recherché, Ryuk, a été signalé comme étant présent en Chine. Le FBI suit Ryuk de près depuis 2018, après avoir retiré 640 000 $ de bitcoins des comptes d’entreprises en l’espace de quelques semaines.

Selon le rapport Tencent Security publié le 17 juillet, le ransomware a été détecté en train d’essayer de crypter les données sur des appareils infectés en Chine. Le virus, qui a causé de graves dommages en Amérique du Nord, a récemment été introduit dans le pays, et les victimes ont déjà été extorqués de près de 115,841 $ (11 BTC).

En 2018, Ryuk a infecté des dispositifs et exigé une rançon importante de plus de 100 entreprises gouvernementales et privées aux États-Unis. Les chercheurs de Checkpoint ont lancé une alerte contre Ryuk dont le butin global s’élevait à plus de 40 BTC. Selon les rapports Checkpoint de 2018, Ryuk a été utilisé pour exécuter des attaques très ciblées dirigées contre des organisations gouvernementales américaines locales. C’est le logiciel de rançon BitPaymer qui a été utilisé, alors que pour voler les identifiants, c’est le cheval de Troie Emotet qui opère.

Selon l’équipe de Tencent Security, l’analyse de l’attaque de Ryuk en Chine révèle que le virus utilise RSA + AES pour crypter les fichiers du système de l’utilisateur attaqué. Une certaine similitude entre les ransomwares Ryuk et Hermes a été observée et c’est la raison pour laquelle les experts en sécurité croient que Ryuk est une version d’Hermes. Le protocole de diffusion de la rançon est également assez similaire et se propage par des méthodes de botnet et de spam. Si le logiciel de rançon attaque une machine, il supprime tous les fichiers liés à l’attaque et surcharge les processus antivirus.

Tencent Security a partagé un aperçu de l’attaque dans laquelle la lettre de chantage de Ryuk, “RyukReadme” s’ouvre dans le navigateur Internet et affiche 2 adresses e-mail et les noms du ransomware. Lorsque l’équipe a essayé de contacter l’auteur de l’attaque, il leur a été demandé de payer une rançon de 11 bitcoins pour le mécanisme de décryptage des fichiers.

Au début du mois de janvier de cette année, Ryuk a attaqué Tribune Publishing et s’en est pris à une organisation gouvernementale locale à Lake City, en Floride, exigeant une rançon de 460 000 $. Au cours des deux semaines suivantes, Riviera Beach, en Floride, a signalé la même attaque pour un coût de 600 000 $.

 

Le FBI recherche la source du virus depuis plus d’un an. D’après l’analyse de l’organisation gouvernementale, l’agresseur opère en tentant dans un premier temps d’entrer dans le réseau de la victime, de s’intégrer dans le registre, puis d’entrer dans le système de fichiers pour enfin commencer le cryptage.  Lorsque l’on compare l’attaque du FBI et l’attaque chinoise, il semble que Ryuk ait subit quelques transformations entretemps. Le Ryuk chinois est de nature plus évolutive car il fonctionne simultanément sur les modules de blackmail 32 et 64 bits.

Le rapport sur la sécurité de Tencent ne révèle pas le nombre d’organisations qui ont été infectées par le logiciel de rançon Ryuk, ni le montant de la rançon demandée.

Les recherches menées au mois de janvier 2019 suggèrent que Ryuk serait originaire de Russie et aurait été développé par le groupe “GRIM SPIDER” comme suggéré par le groupe McAfee. Bien que certains spécialistes en cyber sécurité pensent que la Corée du Nord soit la source de la première version de Ryuk.

 

 

Share This