Actualités

“Ryuk n’est pas officiellement un RaaS” : l’ANSSI apporte de nouveaux indices concernant le ransomware !

Dans un rapport publié au 27 Novembre dernier, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) tranche : non, Ryuk, ne serait, finalement et selon certains indices, pas un ransomware-as-a-service…

 

 

Plusieurs arguments pèsent en faveur de cette hypothèse : Le kit Hermès vendu sur leDark Webne contenait pas d’outil d’exploitation, obligeant ses acheteurs à com-promettre les victimes par leurs propres moyens ou ceux d’un intermédiaire. Ce pourrait être le même cas defigure pour Ryuk . Parmi les intermédiaires potentiellement employés se trouveraient notamment TrickBot,Bazar, Buer et SilentNight. Ces loaders seraient utilisés par l’opérateur final de Ryuk ou par des attaquants chargés de lui ouvrir des accès ; FIN6 ou des acteurs qui lui sont affiliés auraient  manifestement été impliqués dans des incidents Ryuk en2019 lors desquels aucune charge intermédiaire du type des loaders précédents n’a été observée ; les différentes demandes de rançon Ryuk suggèrent selon MalwareBytes qu’il pourrait y avoir plus d’un groupe ayant accès au rançongiciel ; d’après FireEye, UNC1878 est responsable de 83% des infections Ryuk en 2020 et n’exfiltrerait pas d’informations hormis celle de reconnaissance interne depuis le SI de ses victimes, à la différence d’autres opérateurs de Ryuk“.

FIN6 fait référence aux cyber-attaquants russes ou assimilés : dès 2015, le modus operandi visait les données bancaires sur des plate-forme e-Commerce ou depuis des TPE en vue d’une revente ultérieure. Ce n’est qu’à partir de la moitié de l’année 2018, que certains indices pointent une relation avec Ryuk et LockerGoga. Quant à UNC1878 (alias One Group), le fonctionnement a été observé, officiellement, depuis Janvier dernier. Il sert d’intermédiaire en diffusant la viralité de Ryuk mais aussi de Trickbot ou encore de BazarLoader.

Selon les observations de l’équipe FireEye relayées dans le rapport de l’ANSSI, l’année sécuritaire 2020, en terme de ransomware, serait l’apanage de Ryuk à hauteur d’un cinquième dont 83 % serait émises ou distribuées par UNC1878… A veiller !

 

 

Source : ANSSI – 27 Novembre 2020 – Ryuk : conclusions 2020 de l’activité du rançongiciel.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0