Catégories
Attaque Hôpital informatique Ransomware Sécurité Technologie

L’Hôpital d’Albertville subit une cyberattaque


Le centre hospitalier Albertville-Moûtiers en Savoie est victime d’une cyberattaque depuis le lundi 21/12/2020. Elle a endommagé ses serveurs informatiques.

Le directeur et le directeur délégué, Guy-Pierre Martin (à droite) et Pierre Idée

Quelques jours après l’hôpital de Narbonne, qui a été touché par une cyberattaque infectant ses serveurs, le Centre Hospitalier Albertville-Moûtiers (CHAM) en Savoie a de nouveau été confronté à un virus informatique qui a endommagé son système d’information. Découvert le lundi 21 décembre, vers 18 h. 4, la cyberattaque provoquée par un virus «ransomware» rendu inaccessible «à un certain nombre d’équipements, de serveurs, de logiciels et d’une partie du réseau informatique». Comme l’a indiqué l’hôpital dans un communiqué de presse mercredi. Outre les hôpitaux d’Albertville et de Moûtiers, deux EHPAD ont également été , soutenu par CHAM, concerné.

Dès que l’attaque a été découverte, tout le réseau informatique de l’hôpital a été fermé, rendant impossible l’accès aux dossiers des patients et aux dossiers de traitement. «C’est très compliqué pour tous les services, nous sommes limités par l’ordinateur, et ça risque de durer», explique un officier hospitalier.

Les connexions informatiques à l’hôpital voisin de Chambéry, dont la gestion est partagée avec le centre hospitalier d’Albertville-Moûtiers, ont été suspendues à partir de lundi pour éviter de propager le virus. «Nous avons été informés lundi après-midi qu’une attaque assez grave avait eu lieu à Albertville et que tous les systèmes centraux de communication avaient été cryptés par le virus», explique un membre du personnel de l’hôpital de Chambéry.

Malgré sa virulence, l’attaque ne mettrait pas en péril le fonctionnement de l’établissement. La protection respiratoire et les salles d’opération, la plateforme d’imagerie et les urgences « fonctionnent normalement », précise l’hôpital.

Catégories
Attaque informatique presse Ransomware Technologie

Le journal Ouest France piraté par un ransomware

Le groupe Ouest France, qui a été perturbé il y a quelques jours par un « virus mystérieux », a en fait été cyber-attaqué par un ransomware.

ZATAZ peut confirmer que le groupe de presse français Ouest France, cyberattaque du samedi 21 novembre, était du groupe de hackers Egregor. Ces opérateurs de ransomwares malveillants confirment cette intrusion en communiquant, à travers la divulgation de preuves, l’intrusion et les otages 2.0

Le journal Ouest France piraté par un ransomware

Ces terroristes numériques ont téléchargé un fichier de plus de 80 Mo (1% de ce qu’ils auraient volé) pour signaler ce piratage.

Un hack qui a abouti au blocage de nombreuses machines au sein du groupe de presse et à l’obligation de réduire la publication du journal. Ouest France n’a pu sortir qu’une seule édition (au lieu de neuf) le dimanche 22 novembre.

La direction du journal n’a alors déclaré aucune fuite de données et n’avoir vu aucune demande de rançon. LIEN

Catégories
Attaque hyères informatique Ransomware Service informatique Technologie

Les groupes derrière les ransomwares appellent les victimes qui les ignorent

Les cybercriminels continuent de développer à un rythme leurs méthodes intimidantes de pression sur leurs victimes. Après les menaces de fuite que le marketing téléphonique …

Les groupes derrière les ransomwares appellent les victimes qui les ignorent

« Si vous voulez arrêter de perdre votre temps et récupérer vos données cette semaine, nous vous recommandons de discuter de la situation avec nous sur le chat, sinon les problèmes avec votre réseau ne finiront jamais. » Depuis août, des firmes qui ont sacrifié des rançongiciel qui ne contactent pas leurs rançonneurs ont reçu de tels appels, rapporte ZDNet.

Sur la ligne, un agent d’un centre d’appels payé par des cybercriminels a été constamment trouvé. Il explique que les hackers soupçonnent qu’une société de cybersécurité est impliquée dans la gestion de l’incident, puis cela se transforme en menaces. Cette demande vise à mettre encore plus de pression sur les équipes de sécurité déjà débordées pour tenter de favoriser la restauration du réseau de rançon.

Virus informatique Hyères

Les noms les plus connus du secteur comme Conti, Ryul ou Maze (qui a depuis cessé ses activités) ont déjà utilisé cette méthode. S’il n’est pas complètement nouveau, il est systématisé pour la première fois. Selon les spécialistes interrogés par ZDNet, il semble que les hackers utilisent tous le même centre d’appels.

CHOISIR D’IGNORER L’APPLICATION DE LA SOLUTION EST DIFFICILE
Une récupération et un nettoyage complets d’un réseau infecté par un ransomware peuvent prendre des jours, voire des mois, en fonction de la propagation du malware et de l’architecture du réseau. Pendant cette période, la société offreuse fonctionnera au ralenti, ce qui affectera de manière irréversible son chiffre d’affaires.

Il peut donc être tentant de payer la rançon, même si elle est élevée (de quelques centaines de milliers d’euros à des dizaines de milliers de millions d’euros pour les grands groupes), car ce choix peut être économiquement avantageux. Si elle se conforme aux demandes des hackers, elle a la possibilité de récupérer son système en peu de temps, et en plus, certaines assurances couvrent une partie des frais.

Mais choisir de payer la rançon signifie faire confiance aux criminels, risquer de laisser des restes de logiciels malveillants sur votre système et, surtout, remplir la force de frappe du gang derrière les attaques, qui se développent à un rythme alarmant.

Pour mettre leurs victimes sous pression, les voyous ne cessent d’innover depuis deux ans. Ils ont commencé à menacer d’avertir les journalistes afin d’attirer l’attention sur l’attaque et de nuire à la réputation des victimes auprès de leurs clients. Ensuite, ils ont commencé leurs propres blogs où ils ont menacé de publier des échantillons de données volées aux victimes.

Ils commencent par télécharger quelques mégaoctets comme preuve de leurs méfaits et peuvent aller jusqu’à publier toutes les données volées. Et ce n’est pas tout: si la victime s’expose, les cybercriminels n’hésiteront pas à doubler la rançon après le temps imparti.

Solutions de sécurités informatique

Ces derniers mois, les opérateurs de ransomwares ont pris la liberté de tirer de nouveaux threads. Ragnar Locker a acheté des publicités Facebook pour décourager la communication de sa victime Campari. De son côté, Egregor a codé un script dans son malware pour imprimer automatiquement sa note de rançon sur des imprimantes liées à des appareils infectés. Et maintenant, d’autres gangs font face au harcèlement téléphonique. Alors, où s’arrête l’escalade des méthodes utilisées par les cybercriminels?

Catégories
Entreprise de construction Hôpital Sécurité Service informatique Technologie

Ransomware: un problème infinie?

Se défendre contre cette menace en constante évolution n’est pas une mince affaire, mais un bon point de départ est de comprendre où se trouvent les points faibles et comment ils sont exploités.

Ransomware: un problème infinie?

Tous les experts conviennent que les cybermenaces se sont intensifiées ces derniers mois avec l’augmentation des demandes de rançon et des tactiques que l’on peut qualifier d’impitoyables.

Personne n’est épargné par des organismes publics comme les villes de Vincennes et Aulnoye-Aymeries il y a quelques semaines aux plus grandes entreprises privées comme Bouygues Construction, CMA-CMG ou Sopra-Steria.

Les cybercriminels parviennent à trouver de nouvelles façons de contourner les défenses des entreprises grâce à des attaques plus sophistiquées et ciblées. Se défendre contre cette menace en constante évolution n’est pas une mince affaire, mais un bon point de départ est de comprendre où se trouvent les points faibles et comment ils sont exploités.

Les personnes restent le maillon faible de la cybersécurité
Il suffit d’un clic sur un lien de phishing pour faire le travail: les défenses du réseau sont brisées et les logiciels malveillants sont infiltrés.

Renforcer sa défense contre la négligence humaine nécessite non seulement de former les employés à la sensibilisation à la cybersécurité, mais aussi d’introduire des outils pour filtrer les contenus malveillants avant qu’ils ne causent des dommages. Mais comme la cybersécurité n’est pas une science exacte, même les plans les mieux conçus doivent être continuellement revus et adaptés afin de ne pas être dépassés par le rythme fou du développement des cybermenaces.

Prenons, par exemple, l’augmentation massive du télétravail pendant la pandémie.
Ce nouveau «standard» offre aux hackers une toute nouvelle audience et une cible facile qui n’ont pas l’habitude de se protéger des menaces. Ces nouvelles habitudes de travail ont conduit à une augmentation des attaques RDP (Remote Desktop Protocol) de Microsoft dans le monde, selon le fournisseur de sécurité Kaspersky.

Les mails comme porte d’entrée

Les cybercriminels sont bien conscients que chaque industrie présente des vulnérabilités spécifiques. Ils exploitent ces vulnérabilités en passant de campagnes de phishing massives à des attaques plus ciblées. Par exemple, certaines se concentrent sur des entreprises individuelles, généralement de haut niveau, car elles ont souvent beaucoup à perdre, tandis que d’autres ciblent un secteur particulier en utilisant des logiciels malveillants adaptés aux technologies utilisées dans ce secteur.

Dans certains cas, ils utilisent les deux, comme lors de la récente attaque Honda. Le piège dans ce cas était une variante du ransomware Snake qui pouvait à la fois désactiver les mesures de protection et cibler les systèmes d’exploitation SCADA industriels utilisés dans la fabrication de véhicules.

Les attaques de ransomwares deviennent rapidement une «entreprise» de plus en plus diversifiée. Les victimes risquent désormais de voir leurs données sensibles collectées lors d’une attaque de cryptage. Il devient également de plus en plus clair que les ransomwares ciblent régulièrement les systèmes de sauvegarde et de reprise après sinistre ainsi que les données en temps réel. Du moins en apparence car il faut du temps pour vérifier l’intégrité de ces défenses …

Suivez l’actualité de ransomware

Que peut faire une entreprise pour se protéger de ce qui est aujourd’hui l’une des plus grandes menaces pesant sur son système informatique? Il n’y a pas de réponses faciles ou d’outils simples qui peuvent résoudre le problème.

Plutôt qu’une solution miracle, c’est plutôt une approche méthodologique qu’il faut privilégier: sensibiliser et éduquer les utilisateurs finaux sur la sécurité, mettre à jour les outils anti-malware sur les postes de travail et l’infrastructure, et s’assurer que les stratégies et outils de sauvegarde sont suffisamment robustes pour faire face aux menaces contre les ransomwares et permettre un retour rapide à la normale.

Toutes ces mesures méritent d’être envisagées, mais en tant que dernière ligne de défense, c’est la protection qui est la plus importante. D’autant que l’utilisation de périphériques NAS (Network Attached Storage) pour la sauvegarde et l’archivage est répandue et qu’ils sont en eux-mêmes une cible facile. C’est la «partie réseau» qui expose les périphériques NAS au plus grand risque, les rendant faciles à identifier et, une fois trouvés, faciles à attaquer. Souvent sans que personne ne le sache jusqu’à ce que les demandes de rançon arrivent dans la boîte de réception.

La première approche consiste à verrouiller le réseau auquel les périphériques NAS sont connectés, tout en s’assurant que le micrologiciel du NAS est à jour avec toutes les dernières mises à jour de sécurité. Au-delà, il est intéressant de profiter de l’authentification à deux facteurs lorsqu’elle est disponible, et de SSL pour mieux sécuriser l’accès à distance si nécessaire.

Les bonnes pratiques contre les ransomwares

D’autres bonnes pratiques incluent le blocage automatique des adresses IP après l’échec répété d’attaques de connexion par «force brute», ainsi que l’utilisation du cryptage des données et des pare-feu spécifiques au NAS.

En matière de cybersécurité, il vaut mieux être très prudent. Autrement dit, effectuez des sauvegardes fréquentes et régulières du stockage NAS et stockez ces copies à distance (de préférence hors site) et sans connexion au réseau. C’est le seul moyen de garantir qu’il existe une version propre et récupérable des données qui n’est pas obsolète.
Sans oublier, cependant, que cela doit être combiné avec des contrôles d’intégrité réguliers et des analyses de logiciels malveillants pour s’assurer que les données copiées ne sont pas déjà compromises.

La menace du ransomware cessera-t-elle un jour de planer? Possible, mais sûr, de faire de la place à une menace au moins aussi grande. C’est pour cette raison que de nombreuses entreprises cherchent à le désinfecter au niveau du stockage de données avec les capacités de stockage d’objets, de contrôle de version, de technologie WORM (Write Once Read Many) et de systèmes de fichiers immuables.

Gartner prédit qu’env. 20% des données de l’entreprise d’ici 2021 seront stockées en mode scaling contre 30% aujourd’hui. La fin du ransomware n’est pas a priori pour demain, il semblerait que ce soient ces technologies associées au stockage de données qui permettent de désarmer ce type d’attaque et de voir un peu de lumière au bout du tunnel!

Catégories
Attaque Etude informatique Ransomware

Répondre aux attaques de ransomwares pour une meilleure survie

Qu’elles soient intentionnelles ou opportunistes, les attaques de ransomwares créent le chaos. Concentrez-vous sur les faiblesses, les techniques utilisées et les réactions à adopter pour tenter de faire face au pire et limiter les dégâts.

Plus virulentes et professionnalisées que jamais, les cyberattaques provenant de ransomwares ciblant les entreprises ainsi que les administrations et les communautés sont un véritable fléau. Suite à la publication début septembre d’un guide signé par l’ANSSI et le ministère de la Justice passant en revue les moyens d’action et les réponses pour faire face à cette formidable menace, c’est au tour de l’Observatoire. la sécurité des réseaux et des systèmes d’information (OSSIR) pour jouer un rôle dans la lutte contre les ransomwares.

Dans le cadre de l’une des dernières visioconférences de l’association, Christophe Renard, Agent au sein de la direction responsable de la sous-direction des opérations de l’ANSSI, est intervenu dans le cadre d’un retour d’expérience sur l’anatomie des attaques de ransomware. Après avoir brièvement passé en revue le rôle de l’ANSSI dans la lutte contre les cybermenaces (prévention, réponse aux incidents et partage des connaissances), Christophe Renard a rappelé l’explosion des attaques ransomware (104 entre le 1er et le 1er janvier) (septembre 2020), qui a conduit à plusieurs incidents majeurs, qui combinait destruction de données et arrêt de production, comme cela a été le cas récemment avec Sopra Steria, avec un impact économique significatif.

Comment connaitre un ransomware

Dans la première partie de son retour d’expérience, Christophe Renard dresse un panorama des points d’entrée qui permettent à un pirate d’accéder à un système exposé. Généralement via un point d’accès accessible depuis Internet ou un poste de travail utilisateur via un email contenant un lien ou un document capturé. Il y en a un certain nombre allant de l’exploitation de grandes vulnérabilités (CVE-2019-11510 sur PulseSecure, CVE-2019-19781 sur Citrix et CVE-2019-0604 sur Sharepoint) à celles qui font l’objet d’analyses massives, à l’énumération de des mots de passe sur des services exposés sur Internet (RDS sur des serveurs de domaine, des VM de domaine, etc.) ou encore des résultats de campagnes de botnet (Emotet, Dridex, etc.).

« De temps en temps, les attaquants tentent d’étendre leur emprise », a déclaré Christophe Renard. Cette latéralisation peut alors emprunter plusieurs chemins, allant de la numérisation réseau à l’exploration système en montage RDP, RCP et SMB ou encore l’utilisation de trames standards offensives (powershell-Empire, Cobalt Strike, Metasploit, etc.). L’augmentation des privilèges fait bien sûr partie du plan d’attaque d’un hacker pour atteindre ses objectifs. Pour cela il peut essayer de réutiliser des mots de passe qui peuvent être communs entre admin et utilisateur, extrapoler les règles de production ou faire un décompte brutal des applications ou même pêcher dans le SI (mots de passe fichier excel, raccourcis de connexion avec mots de passe enregistrés …). Mais aussi attrapé par les «points d’eau» tels que les applications Web internes ou même le portail VPN en tant que tel. Pour protéger l’accès, des procédures peuvent être envisagées: comme la création de comptes privilégiés (AD, administrateurs locaux, etc.) ou l’ajout d’implants (RAT, webshell, tunnels inversés, etc.).

Anticipant et assurant l’effet maximal de son attaque, le hacker cherche à mettre en œuvre son ransomware le plus rapidement possible. Cela implique en particulier des étapes pour neutraliser l’antivirus, arrêter les processus serveur à la dernière minute ou s’assurer que les objectifs pertinents sont effectivement atteints. Par conséquent, il est préférable de porter une attention particulière à certains signaux susceptibles de se produire, tels que le suivi des virus, les pannes d’antivirus, les pannes de service inattendues ou les connexions de contrôleur de domaine. Dans le but de copier et d’exécuter son programme malveillant à grande échelle, l’utilisation de mécanismes d’administration est effectuée (Batch files de PsExec en série, création de tâches pour l’exécution d’instructions de GPO, utilisation de BITS …). Une fois implémenté, le code s’attaquera à plusieurs objectifs: supprimer les clichés instantanés, rechercher et crypter des fichiers, créer des messages d’invitation et de contact, ou même envoyer des informations de télémétrie pour estimer les attaques réussies.

Comprendre le timing d’un ransomware

Généralement, les campagnes de ransomwares sont menées après un timing qui rend plus difficile de les contrer (week-ends, vacances, etc.). Il est donc temps pour l’entreprise de se lancer avec les conséquences de la transition vers la crise, qui mobilisera des acteurs clés en interne (direction générale, experts sécurité, DSI, etc.), mais aussi en externe (sous-traitants, enquêteurs numériques …). Il est impératif à ce stade d’identifier les responsables et impliqués dans cette gestion de crise, et notamment leur rôle et leur périmètre d’intervention. Les premières actions visent à freiner la prolifération des réseaux (perturbation de l’accès Internet, filtrage réseau de niveau 2 ou 3, coupure des accès tiers, etc.), mais également des systèmes (arrêt des postes de travail, extension de la couverture antivirale et XDR, etc.) le piège tendu par les cyber-attaquants et la nécessité de redémarrer l’activité au plus vite pour éviter de lourdes pertes opérationnelles et financières, les entreprises doivent également initier un plan de communication (salariés, partenaires, médias, etc.) en n’oubliant pas l’essentiel: déposer une plainte auprès du autorités compétentes (police, gendarmerie …) et signaler l’incident (ANSSI, CNIL …).

Testez la restauration à l’avance
Dans une manipulation tendue et compliquée du cotext, les erreurs se produisent rapidement. Mais certaines sont à éviter, comme le rappelle Christophe Renard. « La crise des ransomwares est une crise stratégique; elle ne doit pas être gérée uniquement sous l’angle informatique. » De même, il est illusoire de croire qu’une solution peut être trouvée en quelques jours: « aucune crise de ransomware, comme je l’ai observé, n’a duré moins de 3 semaines […] nous devrons enquêter, reconstruire, mettre en œuvre des mesures temporaires, restaurer Personne n’a les équipes internes pour tout faire. »Attention à ne pas baser toute cette organisation de crise sur une seule personne:« personne ne garde 3 semaines de crises sans repos, un burn-out lors d’un incident survient », prévient Christophe Renard.

Revenir à la normale, après une attaque de ransomware

Pour revenir à la normale et après une étape corrective nécessaire, le processus de récupération est une étape clé qu’il ne faut pas sous-estimer. Il est également nécessaire que les sauvegardes et les applications puissent être restaurées en étant préalablement déconnectées et désynchronisées du SI maître. «L’expérience des tests Restore est précieuse: toutes les raisons pour ne pas les faire par temps calme sont exacerbées par un environnement dégradé et le stress», explique Christophe Renard. Le temps viendra alors de se faire un état des lieux (image, technique, économique, législatif et humain) et d’en tirer les conséquences pour améliorer la réponse aux incidents et mieux contrer les effets catastrophiques du prochain ransomware. Car s’il y a une chose à garder à l’esprit, c’est plus que jamais en termes de cybersécurité que l’on n’est jamais en sécurité une fois pour toutes.

Catégories
Android Apple Attaque Bitcoins COVID-19 Ekans Etude EvilQuest GandCrab Hakbit Hôpital hyères informatique Mac MacOS Mairie maze Nefilim NetWalker Non classé Orange prix Ragnar Locker Ransomware revil Ryuk Sécurité Service informatique Shade sodinokibi Technologie ThiefQuest vidéo

Ryuk LE ransomware 2020?

Anssi a publié un nouveau rapport, cette fois axé sur l’activité ransomware de Ryuk. Particulièrement impliqué dans l’attaque de Sopra Steria en France, ce logiciel malveillant se distingue de la concurrence et ne se contente pas de dupliquer les méthodes de ses concurrents.

Ryuk LE ransomware 2020?

Ryuk est un ransomware actif depuis 2018 et dont les opérateurs sont particulièrement actifs. C’est ce qui a valu le titre de «ransomware le plus rentable» selon le FBI en 2018 et généré plus de 61 millions de dollars de rançon entre février 2018 et octobre 2019.

Cependant, Ryuk n’aborde pas les méthodes qui ont fait le succès de groupes malveillants comme Maze ou Revil: pas de chantage pour le vol de données, pas de place pour montrer les victimes ou les communiqués de presse ici. Pourtant, ce ransomware, qui est actif depuis deux ans maintenant, reste une menace majeure, et Anssi a publié un rapport de statut.

Ryuk est un ransomware dont le but est de crypter les données de la victime pour exiger une rançon. Anssi indique que les cibles privilégiées des opérateurs de ce ransomware sont les grandes entreprises capables de payer les grosses rançons requises, principalement aux États-Unis et au Canada. L’agence note également que les opérateurs de Ryuk ne réservent pas d’autres groupes vis-à-vis des établissements de santé: « en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé qu’il attaquerait depuis le premier semestre 2019 ». Des dizaines d’hôpitaux américains ont été victimes d’une campagne de Ryuk au début d’octobre visant les services dans les hôpitaux de l’UHS. Le FBI et le CISA américain ont également mis en garde contre le risque de nouvelles attaques basées sur Ryuk dans un nouveau communiqué d’information publié fin octobre.

Trickbot, Emotet et le bazar
Comme de nombreux ransomwares, Ryuk n’est que la dernière étape d’une chaîne d’infection multi-malware. Les auteurs du rapport indiquent que l’infection Trickbot, au moins jusqu’en septembre 2020, aurait été le point d’entrée privilégié des opérateurs Ryuk pour s’implanter dans les réseaux d’entreprise. Trickbot, avec Emotet et bien d’autres, est un malware de type chargeur qui se propage généralement via des campagnes de courrier électronique malveillantes pour infecter un appareil cible, puis se propager à travers le réseau interne d’une victime et se déplacer jusqu’à ce qu’il compromette un contrôleur de domaine. La dernière étape est la mise en œuvre du ransomware, le cryptage des machines et la demande de rançon. Et si ce type d’attaque prend généralement du temps, certains opérateurs Ryuk se démarquent par leur rapidité: Anssi indique ainsi que dans certains cas le temps de la première infection et du cryptage est réduit de quelques jours. (2 à 5) en trois heures ».

En 2020, cependant, les opérateurs de Ryuk semblent s’être progressivement tournés vers un nouveau chargeur, connu sous le nom de BazarLoader, actif depuis mars 2020. «Comme TrickBot, Bazar serait utilisé comme un accès en tant que service pour faire des compromis ou même qualifier un SI pour le compte d’autres groupes d’attaquants. On ne sait pas si BazarLoader, comme TrickBot, fonctionne également sur un modèle d’affiliation », précise l’agence, qui précise que le logiciel est principalement distribué par le groupe derrière Trickbot. D’autres chargeurs ont également été identifiés dans des attaques impliquant le malware Ryuk: Buer et Le logiciel Silent Night a également été utilisé dans l’attaque qui a implémenté Ryuk.

Raas ou pas Raas, c’est la question
L’un des points qui sépare Ryuk du reste de l’écosystème de la cybercriminalité des groupes de ransomware est la question du modèle commercial de Ryuk. Pour de nombreux ransomwares apparus ces derniers mois, le modèle économique utilisé est généralement celui de RaaS (Ransomware as a service): le groupe à l’origine des ransomwares commercialise ses logiciels sur des forums clandestins auprès d’autres groupes, qui s’assurent ensuite de les diffuser réseaux informatiques de leurs victimes.

Pour Anssi, Ryuk n’est « pas officiellement un RaaS »: l’agence déclare ainsi qu’elle n’a observé aucune promotion des opérateurs Ryuk sur les forums clandestins. Ryuk est néanmoins exploité par plusieurs acteurs malveillants, selon Anssi. S’il n’est pas vendu au public, il pourrait être mis à la disposition de partenaires de confiance par le créateur du code malveillant, ou il pourrait être exploité indépendamment par plusieurs groupes à l’aide d’outils et de formes de propagation communs. .

Il est donc difficile de savoir qui tire exactement les fils de Ryuk: le rapport de l’agence met en évidence le rôle central joué par deux acteurs malveillants, le groupe WizardSpider derrière Trickbot et le groupe identifié comme UNC1878. Selon FireEye, ce dernier groupe est responsable de 83% des attaques impliquant Ryuk. L’agence note également l’implication d’autres groupes tels que FIN6 dans la prolifération du ransomware Ryuk ainsi que du code et des méthodologies entre Ryuk et un autre ransomware connu sous le nom de Conti. Si Ryuk n’est pas «officiellement un RaaS», il n’en est pas moins un acteur profondément enraciné dans la sphère de la cybercriminalité et avec de nombreux liens avec des groupes tiers.