Repéré depuis le mois d'août dernier, le logiciel malveillant Ryuk aurait réussi à récolter plus de 700 bitcoins à travers des rançons, soit environ 3,7 millions de dollars. La particularité de ce ransomware est de ne s'attaquer qu'à des cibles susceptibles de payer de grosses sommes.
Depuis l'été dernier, le ransomware Ryuk a fait parler de lui pour diverses exactions, dont une attaque contre le groupe de journaux américains Tribune Publishing. Le logiciel se révèle également lucratif pour ses auteurs, grâce à une approche atypique.
Un « phishing » dirigé contre des gros « poissons »
En effet, contrairement à un grand nombre de ransomwares, Ryuk n'agit ni à l'aveugle, ni précipitamment. Tout commence par l'installation du logiciel espion TrickBot sur des machines ciblées, via l'envoi de mails frauduleux. Un procédé semblable au phishing, mais sans récupération directe de données de connexion.Le virus ne va, ensuite, pas s'exécuter tout de suite. Les pirates vont se servir de TrickBot pour déterminer les ordinateurs appartenant à de grandes organisations, capables de payer les rançons les plus élevées. Si la cible ne semble pas suffisamment intéressante, les hackers peuvent tout aussi bien abandonner l'idée de lancer le ransomware. De même, ils vont prendre le temps, parfois jusqu'à un an (!), pour identifier la manière de causer le plus de dégâts. S'il est exécuté, Ryuk agit alors comme un ransomware « classique » : il chiffre les données du système et demande une rançon à la victime pour qu'elle puisse les récupérer.
La piste nord-coréenne abandonnée
En à peine cinq mois, le logiciel malveillant aurait obtenu 52 paiements et amassé plus de 700 bitcoins, soit environ 3,7 millions de dollars (environ 3,23 millions d'euros).Pour l'heure, il n'y a aucune certitude concernant l'origine de Ryuk, mais il apparaît clair qu'il ne vient pas de Corée du Nord, comme cela a pu être suggéré auparavant. D'après l'entreprise de cybersécurité CrowdStrike, certains éléments laissent penser que le ransomware pourrait être contrôlé par des hackers russes, mais cela reste à confirmer.
La bonne nouvelle pour les particuliers, c'est que de plus en plus de malwares semblent privilégier les cibles disposant de moyens conséquents. En revanche, si vous travaillez pour une grande entreprise ou une organisation gouvernementale, il vous faudra redoubler de vigilance.
Source : Engadget
