Ryuk, l’une des souches de ransomwares les plus prolifiques et les plus résistantes, a adopté de nouvelles capacités de type ver, selon des chercheurs en sécurité.
Le ransomware est exploité par le syndicat cybercriminel russe Wizard Spider et infecte les victimes depuis plusieurs années. Il a été sur le radar de plusieurs agences de cybersécurité, d’autant plus que ses opérateurs ont été suffisamment impitoyables pour attaquer les établissements de santé au milieu de la pandémie Covid19.
En analysant un nouvel échantillon de ransomware à l’Agence nationale pour la sécurité des systèmes d’information (ANSSI), l’agence nationale française de cybersécurité, les chercheurs ont découvert que Ryuk peut désormais se propager d’une machine à une autre par lui-même.
Sommaire
Ransomware auto-propagateur
Le rapport de l’ANSSI note que Ryuk n’est pas connu pour se propager automatiquement au sein du réseau. De plus, alors que les chercheurs français n’ont pas vu Ryuk proposé à la vente sur le dark web, les chercheurs de Deloitte pensent que le ransomware est vendu comme une boîte à outils aux attaquants, ce qui signifie qu’il pourrait y avoir plusieurs variantes en circulation.
Dans le rapport, l’ANSSI discute d’un échantillon découvert lors d’une réponse à un incident au début de 2021, qui présentait des capacités de type ver auparavant absentes. En utilisant ses nouveaux pouvoirs, le ransomware s’est propagé et infecté automatiquement d’autres machines du réseau.
« Grâce à l’utilisation de tâches planifiées, le malware se propage – de machine à machine – au sein du domaine Windows. Une fois lancé, il se répandra ainsi sur toutes les machines accessibles sur lesquelles des accès Windows RPC sont possibles », expliquent les chercheurs.
On ne sait pas si les agences françaises de cybersécurité ont partagé des détails sur la nouvelle souche avec leurs homologues dans d’autres pays.
Cependant, Ryuk a déjà fait l’objet d’un avis conjoint de la CISA, du FBI et du ministère de la Santé et des Services sociaux, déclenché par l’attaque contre des hôpitaux américains l’année dernière.
Via Cyberscoop
