Initié au cours de l’année 2018, le ransomware RYUK n’a pas tardé à se forger une solide réputation en ayant rapporté quelques 3,7 millions de dollars répartis sur 52 transactions pour le deuxième semestre 2018… Des chiffres éloquents attestant que les actes de cybercriminalité sont véritablement très en vogue, tout en étant particulièrement lucratifs. Après avoir essuyée diverses attaques (Everis -NTT Data, Sociedad Española de Radiodifusión…), l’Espagne semble encore quelque peu touchée, avec une attaque d’ampleur ayant visée le 27 novembre dernier, la multinationale espagnole Prosegur. Prosegur et ses 170 000 salariés pour un chiffre d’affaires de 3 milliards d’euros en 2018, est un groupe présent dans 25 pays s’appuyant sur 4 axes : la sécurité électronique avec 550 000 systèmes d’alarme raccordés, le transport de fonds, la sécurité humaine et la télésurveillance. Cette cyberattaque perpétrée vers la multinationale cotée en bourse la entièrement paralysée, rendant inopérant la plupart de ses services dont la télésurveillance, si l’on se réfère aux indications de la « DerechodelaRed ». Sur son compte Twitter, Kevin Beaumont – @GossiTheDog expert en cybersécurité, indique que quelques heures après l’attaque, de nombreux clients se sont plaints de leur système d’alarme devenu inopérant… Une attaque lancée au cours de la nuit dont la méthode de propagation et autres détails techniques n’ont pas fait lieu d’un communiqué spécifique de la part de la multinationale ibérique hormis, une confirmation de l’attaque sur le compte Twitter de Prosegur.
« Prosegur, a worldwide security company with ~170,000 staff members, has had a security incident of some kind and has shut down at least part of their network. https://t.co/CRmAbz19tJ »
Kevin Beaumont (@GossiTheDog) 04:36 – 27 nov. 2019 – Twitter
Cyberattaque : La multinationale Prosegur paralysée par le ransomware RYUK | Qui est le ransomware RYUK
RYUK de son doux nom, est également un personnage de Manga (Death Note) associé à un dieu de la mort… RYUK dans sa déclinaison de « ransomware » cible des entreprises/organisations ne pouvant supporter des temps d’indisponibilités élevés (multinationales, hôpitaux, services publics…). Une stratégie ciblée, garante d’une rentabilité supérieure avec des rançons dont les tarifs fluctuent de quelques dizaines à plusieurs centaines de milliers de dollars, exclusivement payables en Bitcoin. Capables de s’infiltrer au cœur même d’un système (contrôleur industriel, serveur de données…) les ransomwares se montrent redoutables d’efficacité. Une véritable « industrie » parfaitement rodée dont le ransomware RYUK semble exceller. Toutefois, pour mener à bien ce type d’attaque, RYUK s’appuie sur plusieurs vecteurs tel le Cheval de Troie EMOTET ou, le Malware TrickBot permettant de lui ouvrir les portes suite à l’ouverture d’un lien ou d’un fichier malveillant. Une association tristement remarquable d’efficacité paralysant immédiatement toute entreprise touchée. La présence de RYUK au sein d’une infrastructure est assez destructrice. En effet, RYUK s’appuie sur un chiffrement des données aux formats RSA-4096 et AES-256 Bits ce qui nécessite, des clés de décryptage exclusivement accessibles après que l’utilisateur ait payé la rançon (sans aucune garantie de résultat…). Des clés de déchiffrements stockées sur des serveurs distants permettant la restauration à l’identique des fichiers.
Cyberattaque : La multinationale Prosegur paralysée par le ransomware RYUK | Conclusion, à quoi s’attendre en 2020 ?
Comme nous l’avons vu lors de cette article, les ransomwares bénéficient d’un certain engouement dû à une rentabilité très élevée. RYUK se montre très similaire à d’autres ransomwares ou très souvent, seul le type de cryptage associé au montant de la rançon diffère. La clé du secret pour se prémunir des ransomwares est bel et bien, une hygiène des plus stricte en matière de sauvegarde des données sur supports distants, la segmentation & la surveillance des réseaux et bien sûr, de s’abstenir formellement d’ouvrir des pièces jointes douteuses même si aguicheuses ! Le cas Prosegur nous montre bien que nul n’est à l’abri de ce type d’attaque. Toutefois, la rentabilité fait partie des vecteurs de choix dans le déploiement d’une attaque par ransomwares, ce qui oriente quelque peu le choix des cibles. On pense aux cyberattaques perpétrées en novembre dernier vers la compagnie pétrolière Mexicaine PEMEX, à de nombreux hôpitaux dont le CHU de Rouen, au groupe français M6, à l’université de Brest, ou plus récemment (30 décembre 2019) à l’attaque des services de la Garde côtière américaine (USCG) ayant affectée les systèmes de sécurité & de contrôles industriels (caméras, etc.). RYUK possède déjà une sulfureuse réputation et devrait encore faire parler de lui en 2020 de part, sa jeunesse sur le marché de la cybercriminalité…
