Ransomware ryuk

Ryuk, le cryptoware le plus patient des hackers

Ryuk prouve la patience des réseaux mafieux qui ont choisi l’option informatique et Nouvelles Technologie.
En effet, pour arriver à leurs fins, extorquer de l’argent aux cibles, les hackers entrent dans des réseaux d’entreprises.
Ils peuvent y rester plusieurs semaines, voir plusieurs mois.
Pourquoi ? Pour avoir le temps d’identifier toutes les ressources stratégiques.

Ainsi, depuis environ un an, le cryptoware Ryuk terrorise les sociétés, pour l’instant surtout américaines,

Les chercheurs en sécurité avaient rarement vu, certains ne disent jamais, un malware aussi précis dans son exécution plus que minutieuse : chirurgicale.

Toutes les ressources de l’entreprise piégée sont étudiées, examinées, scrutées, afin d’optimiser la future rançon.

Des rançons records pour Ryuk

Les chercheurs de Crowdstike et de FireEye ont analysé le fonctionnement du malware.
Ils estiment les gains depuis février 2017, moins d’un an, à l’équivalent de 3.2 millions d’euros pour 52 « échanges ». Moyenne des transactions : 60 000 euros par société victime.

Grim Spider, nom donné aux pirates par les chercheurs, utilisent en premier lieu un cheval de Troie, déjà connu des spécialistes, TrickBot.
Inséré dans une feuille de calcul Excel, le malware est envoyé à la « cible » par e-mail.

Si la personne se laisse convaincre d’ouvrir la feuille Excel, le malware s’installe sur le système.
Contact avec les serveurs de commandes des pirates est ensuite établi.

Ceux-ci vont compromettre toutes les machines du réseau, une par une, patiemment.

Infection par Ryuk de tout le réseau

Toutes les techniques ou presque vont être utilisées : portes dérobées PowerShell, mot de passe subtilisés, connexions Windows Remote Desktop Protocol et autres techniques de hackers chevronnés.

Pourquoi autant de mal à infecter et analyser un réseau ?
Optimiser les gains !

Les ressources stratégiques de l’entreprises vont être identifiées.
Le chiffrement par Ryuk interviendra quand la collecte des informations sera finie.
Mais avant, les pirates vont par exemple voler des données sensibles qu’ils vont monétiser…

Lorsqu’ils le décident, parfois après plusieurs mois, les mafieux déclenchent Ryuk.

Le malware va alors chiffrer toutes les données présentent sur les ordinateurs du réseau de la société.
Toutes les machines vont être impactées, tous les disques durs connectés au réseau de l’entreprise cible.

Cryptoware Ryuk

Aucune trace de sauvegarde ni de shadows copie

Toutes les sauvegardes seront effacées. Le « Shadows copies » de Windows également.
Minutieusement, les pirates ne laisseront aucune trace de fichiers utilisables.

Inversement, il prend soin d’effacer tous les fichiers de sauvegarde qu’il rencontre sur son chemin, y compris les « Shadows copies » réalisées par Windows. C’est un travail particulièrement
Des morceaux de code russe ont été identifié et un téléchargement suspect de Moscou laisse planer un doute assez fort pour les chercheurs en sécurité sur la provenance de l’infection.

Le ransomware peut faire penser à SamSam qui terrorisait les reponsables en sécurité à la fin 2015. Il permettaient aux pirates de gagner jusqu'à 300 000 $ par mois et s'n prenait également aux sauvegardes.

"Ryuk est un shinigami – c'est-à-dire un dieu psychopompe, souvent appelé de façon erronée « dieu de la Mort » – d'âge inconnu, mesurant 2,10 mètres, vivant dans le monde des « dieux de la Mort », et qui apparaît dès le début de Death Note : dès le chapitre 1, Ennui, du manga, et dès l'épisode 1, Renaissance, de l'anime qui en est l'adaptation." Source Wikipédia

Notez au passage, que Reimage n'est pas un scanner de virus fiable, et il ne vous débarassera d'aucun ransomware, pire, votre ordinateur sera infecté un peu plus.
Sur cette pub, il promet de vous débarasser de Samsam. Non, vous ne pouvez pas supprimer un ransomware ainsi.

Reimage faux scanner de virus

sécurité Malwares Web actualité hacker