Ransomware, Ryuk et Risque : Commencer à comprendre l'attaque épique sur Epiq

According to Shyam Oza, Director of Product Management at Spanning, “The best way to protect your business from Ryuk is to avoid it. Avoidance comes when employees are educated in the matters of ransomware. Some employees do not receive the training, some do, and some know it all too well. Yet, human errors seem to be responsible for 90% of data breaches. Clearly, this tactic is not working.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Note de la rédaction : La récente attaque de rançongiciels contre les services juridiques et le fournisseur de découverte électronique Epiq a accéléré la sensibilisation à la cybersécurité dans la communauté professionnelle de la découverte de données et de la découverte juridique. L'attaque de ransomware reconnue semble avoir été lancée avec une infection TrickBot qui a permis le déploiement de ransomware Ryuk. Les extraits suivants partagent des informations et des informations qui peuvent être utiles aux cabinets d'avocats, aux sociétés et aux fournisseurs de services de l'écosystème de découverte électronique qui cherchent à en savoir plus sur les ransomwares, la famille de ransomwares Ryuk et à réduire les risques associés aux attaques de rançongiciels.

Un extrait de la publication interagence du gouvernement américain sur les rançongiciels

Ransomware : ce que c'est et ce qu'il faut faire à ce sujet

Qu'est-ce que le ransomware ?

Le ransomware est un type de logiciels malveillants que les cyberacteurs utilisent pour refuser l'accès aux systèmes ou aux données. Le cyberacteur malveillant détient des systèmes ou des données en otage jusqu'à ce que la rançon soit payée. Après l'infection initiale, le ransomware tente de se propager à des lecteurs de stockage partagés et à d'autres systèmes accessibles. Si les demandes ne sont pas satisfaites, le système ou les données chiffrées restent indisponibles, ou les données peuvent être supprimées.

Comment protéger mes réseaux ?

Un engagement à l'égard de la cyberhygiène et des pratiques exemplaires est essentiel pour protéger vos réseaux. Voici quelques questions que vous pouvez poser à votre organisation pour éviter les attaques de rançongiciels :

Sauvegardes : sauvegardons-nous toutes les informations critiques ? Les sauvegardes sont-elles stockées hors connexion ? Est-ce que nous avons testé notre capacité à revenir aux sauvegardes lors d'un incident ?

Analyse des risques : avons-nous effectué une analyse des risques liés à la cybersécurité de l'organisation ?

Formation du personnel : avons-nous formé le personnel sur les pratiques exemplaires en matière de cybersécurité ?

Correction de vulnérabilités : avons-nous mis en œuvre des correctifs appropriés pour les vulnérabilités système connues ?

Liste blanche des applications : autorisons-nous uniquement les programmes approuvés à fonctionner sur nos réseaux ?

Intervention en cas d'incident : avons-nous un plan d'intervention en cas d'incident et l'avons-nous utilisé ?

Continuité des activités : Sommes-nous en mesure de soutenir les opérations commerciales sans avoir accès à certains systèmes ? Pour combien de temps ? On a testé ça ?

Tests de pénétration : avons-nous tenté de pirater nos propres systèmes pour tester la sécurité de nos systèmes et notre capacité à nous défendre contre les attaques ?

Comment répondre aux ransomeware ?

Mettez en œuvre votre plan de réponse aux incidents de sécurité et de continuité des activités. Les professionnels de l'informatique de votre organisation peuvent prendre du temps pour isoler et supprimer la menace de ransomware sur vos systèmes et restaurer les données et les opérations normales. Entre-temps, vous devez prendre des mesures pour maintenir les fonctions essentielles de votre organisation conformément à votre plan de continuité d'activité. Les organisations doivent tenir à jour et tester régulièrement des plans de sauvegarde, des plans de reprise après sinistre et des procédures de continuité d'activité.

Contactez immédiatement les forces de l'ordre. Nous vous encourageons à contacter immédiatement un bureau local du FBI ou de l'USSS pour signaler un événement de ransomware et demander de l'aide. Il y a de sérieux risques à prendre en considération avant de payer la rançon. Nous n'encourageons pas le paiement d'une rançon. Nous comprenons que lorsque les entreprises sont confrontées à une incapacité de fonctionner, les cadres évalueront toutes les options pour protéger leurs actionnaires, leurs employés et leurs clients. Lorsque vous envisagez ce choix, tenez compte des risques suivants :

Le paiement d'une rançon ne garantit pas qu'une organisation pourra retrouver l'accès à ses données ; en fait, certaines personnes ou organisations n'ont jamais reçu de clés de déchiffrement après avoir payé une rançon.

Certaines victimes qui ont payé la demande ont déclaré avoir été de nouveau ciblées par des cyberacteurs.

Après avoir payé la rançon demandée à l'origine, certaines victimes ont été invitées à payer plus pour obtenir la clé de déchiffrement promise.

Payer pourrait encourager par inadvertance ce modèle commercial criminel.

Lisez le document complet à l'adresse Ransomware : ce que c'est et ce qu'il faut faire à ce sujet (PDF)

Extrait d'un article de Gabriela Nicolao et Luciano Martins

Virus Bulletin 2019 Paper : La vengeance de Shinigami : La longue queue des logiciels malveillants Ryuk

Abstrait

Ryuk est une famille de ransomwares qui, contrairement aux ransomwares habituels, est liée à des campagnes ciblées où l'extorsion peut survenir jours ou semaines après une infection initiale. Ryuk a été observé pour la première fois en août 2018 et reste actif en juillet 2019.

Parmi ses victimes, nous trouvons des entreprises de différentes industries, y compris des journaux, des restaurants, des institutions publiques et un fournisseur de services cloud. Ryuk a été observé comme une charge utile de deuxième étape fournie dans les campagnes impliquant Emotet et Trickbot, deux des menaces les plus répandues qui sont actuellement utilisées dans les campagnes malveillantes.

Ryuk a une forte ressemblance de code avec le ransomware Hermès et a probablement été développé et peut-être distribué par le ou les mêmes acteurs de menaces. Les similitudes de code trouvées entre Ryuk et Hermès — une charge utile qui aurait été liée aux acteurs nord-coréens de la menace — ont d'abord amené les analystes à soupçonner que Ryuk était affilié au tristement célèbre groupe de Lazarus APT (Advance Persistent Threat). Cependant, cette attribution a été écartée sur la base de preuves recueillies à partir d'un forum Web sombre et le logiciel malveillant a ensuite été attribué à des acteurs russophones probablement connus sous le nom de Grim Spider.

Chronologie de Ryuk

Ryuk est un crypto-ransomware qui a été mentionné pour la première fois dans un Tweet le 17 août 2018. Il a utilisé 'ryukreadme.txt' comme une note de rançon, d'où le nom.ryuk est aussi le nom d'un personnage fictif connu sous le nom de Shinigami (Dieu de la mort) dans une série de manga et d'anime appelée Death Note.

Au moment où Ryuk a été signalé pour la première fois, il avait déjà frappé trois entreprises dans différents pays, et les chercheurs ont souligné que Ryuk était basé sur le code source du ransomware Hermès et qu'il utilisait le même format de note de rançon que BitPaymer.

Le ransomware Hermès a été utilisé par Lazarus, un groupe d'acteurs de menaces parrainé par la Corée du Nord actif depuis 2009. En raison de l'attribution d'Hermès à Lazare, les chercheurs croyaient que Ryuk était également lié à Lazare.

Lisez l'article complet de Shinigami's Revenge : The Long Tail of the Ryuk Malware

Extrait d'un article de Shyam Oza via Spanning

Ryuk Ransomware

À l'automne 2018, une version modifiée du ransomware Hermès a été découverte : Ryuk. Hermès et Ryuk ont des caractéristiques similaires. Ils identifient et chiffrent les périphériques réseau et suppriment les clichés instantanés stockés sur les points de terminaison. La seule différence est la façon dont ils créent les clés de chiffrement. Alors que Hermes utilise une paire de clés RSA et privée, Ryuk utilise une deuxième clé publique RSA.

Ryuk ransomware est plus lucratif que son prédécesseur. Il cible les grandes organisations et les organismes gouvernementaux qui finissent par payer des sommes importantes. La vérité est que, sans les gros gains, le traitement des attaques Ryuk n'est pas durable. Cela implique un degré élevé de processus manuels (exploitation directe, demandes de paiement traitées par e-mail, etc.) et les attaquants ne veulent pas perdre de temps si le retour sur investissement n'est pas bon.

Comment Ryuk fonctionne-t-il ?

Ryuk ransomware n'est pas le début, mais la fin d'un cycle d'infection. C'est un ransomware qui prend forme, étape par étape, et quand il frappe, c'est mortel.

Lire l'article complet sur Ryuk Ransomware

Extrait d'un article de Lawrence Abrams

Ryuk Ransomware attaqué Epiq Global via l'infection TrickBot

L'attaque d'Epiq Global a commencé avec une infection à TrickBot

Aujourd'hui, une source de l'industrie de la cybersécurité partageait exclusivement des informations avec BleepingComputer qui éclairait la façon dont Epiq Global a été infecté.

En décembre 2019, un ordinateur sur le réseau d'Epiq a été infecté par le malware TrickBot.

TrickBot est le plus souvent installé par le cheval de Troie Emotet, qui est propagé par des courriels de phishing.

Une fois que TrickBot est installé, il recueille diverses données, y compris les mots de passe, les fichiers et les cookies, à partir d'un ordinateur compromis et tente ensuite de se répandre latéralement sur un réseau pour recueillir plus de données.

Lorsque vous avez terminé la collecte des données sur un réseau, TrickBot ouvrira un shell inverse aux opérateurs Ryuk.

Les acteurs Ryuk auront alors accès à l'ordinateur infecté et commenceront à effectuer la reconnaissance du réseau. Après avoir obtenu les informations d'identification d'administrateur, ils déploient le ransomware sur les périphériques du réseau à l'aide de PowerShell Empire ou PSExec.

Dans le cas d'Epiq Global, Ryuk a été déployé sur leur réseau le samedi 29 février 2020, lorsque le ransomware a commencé à chiffrer des fichiers sur des ordinateurs infectés.

Alors que Ryuk est considéré comme un ransomware sécurisé sans aucune faiblesse dans son chiffrement, Brett Callow d'Emsisoft a dit à BleepingComputer qu'il pourrait y avoir une légère chance qu'ils puissent aider à récupérer des fichiers chiffrés par le ransomware Ryuk.

« Les entreprises concernées par Ryuk doivent nous contacter. Il y a une petite chance - très petite - que nous puissions les aider à récupérer leurs données sans avoir à payer la rançon », a déclaré Callow à BleepingComputer.com.

Bien que les chances soient très faibles, si vos appareils sont chiffrés par le Ryuk Ransomware, il ne fait pas de mal de vérifier avec Emsisoft.

BleepingComputer a contacté Epiq avec d'autres questions au sujet de cette attaque, mais n'ont pas entendu parler à ce moment.

Lire l'article complet de Ryuk Ransomware attaqué Epiq Global via TrickBot Infection

Lecture supplémentaire

Une attaque de rançongiciels Epiq frappe le leader des services juridiques

L'intersection du droit international et des opérations cybernétiques : une trousse interactive sur le droit cybernétique

Source : CompleDiscovery