Les cyberattaques se suivent. Et il fallait s’y attendre. Après Dax, au tour du centre hospitalier de Villefranche-sur-Saône dans le Rhône de se retrouver paralysé par un ransomware, le crypto-virus Ryuk.
Conséquence entre autres : le report de plusieurs opérations chirurgicales. Cette nouvelle menace a été menée par le ransomware Ryuk, déjà connu pour diverses attaques.
L’agence nationale de la sécurité des systèmes d’information (ANSSI) avait dévoilé en novembre 2020 un rapport détaillant ses caractéristiques techniques, alors q’elle indiquait à l’époque que Ryuk aurait été responsable de 75 % des attaques sur le secteur de la santé, secteur qu’il attaquerait depuis le premier semestre 2019.
Dropper + charge
“Le rançongiciel Ryuk a été observé pour la première fois en août 2018. C’est une variante du rançongiciel Hermes, vendu sur le forum souterrain exploit.in à partir de février 2017 par le groupe cybercriminel CryptoTech pour environ 400 dollars“, y précise l’ANSSI, dressant le portrait-robot du malware. Comment fonctionne-t-il ?
“Ryuk n’a pas la capacité de se latéraliser automatiquement au sein d’un réseau, d’où la nécessité d’un accès via une première charge utile ou d’une latéralisation manuelle. Ryuk se compose d’un dropper, déposant sur le poste de la victime l’une des deux versions d’un module de chiffrement de données (32 ou 64 bit). Le dropper exécute ensuite la charge utile. Après quelques minutes d’inactivité, Ryuk cherche alors à arrêter plus de 40 processus et 180 services, notamment ceux liés aux logiciels antivirus, aux bases de données et aux sauvegardes. Il assure sa persistance par la création d’une clé de registre.”
Ryuk chiffre tous les fichiers, à l’exception de certains fichiers Windows, Mozilla,
Chrome et Ahnlab, précise l’ANSSI, qui ajoute que, depuis octobre 2019, Ryuk dispose d’une fonctionnalité lui permettant d’allumer les postes éteints présents sur le réseau local (Wake-on-LAN) afin d’accroître sa surface de chiffrement.
Ryuk ne dispose pas de fonctionnalité d’exfiltration de données, mais un code malveillant de type stealer, présentant des similarités de code avec Ryuk, viserait à exfiltrer des fichiers en .docs et .xlsx.
Les établissements de santé sont largement attaqués dans le monde depuis la pandémie. Entre novembre et décembre 2020, les attaques contre eux ont augmenté de 45 % selon le spécialiste de la cybersécurité Check Point, soit « plus du double de l’augmentation globale des cyberattaques sur tous les secteurs industriels dans le monde observée au cours de la même période”.
En octobre dernier, Sopra-Steria avait été victime d’une cyberattaque menée par “une nouvelle version du ransomware Ryuk“, selon les termes employés par le groupe.