Antivirus : Qu'est-ce que Ryuk et comment s'en protéger ?
Le ransomware est la menace informatique la plus dévastatrice de ces dix dernières années. Ryuk en fait évidemment partie par son ampleur et son mode opératoire.
Même avec un niveau de protection maximale, serions nous enfin à l’abri de ransomware comme Ryuk ?
Nous allons tout vous dire sur ce ransomware d’un tout nouveau genre, celui qui en est à l’origine et sur les méthodes pour vous en protéger
Qu’est ce que le ransomware Ryuk ?
Ryuk est un rançongiciel et plus largement un logiciel malveillant qui a vu le jour depuis 2018. Il met à mal le système d’information des entreprises ciblés et même les informations contenues sur votre ordinateur personnel en y verrouillant l’accès. Ryuk opère sur les systèmes tournant sous Windows en exploitant la faille de sécurité de la pièce jointe piégée pour installer le logiciel malveillant dès que celle-ci est ouverte. Il existe différents types de ransomware et celui-ci est un logiciel de rançon des données du disque dur.
Comme son nom l’indique, vous devrez verser une rançon afin d’accéder de nouveaux à vos fichiers. Le montant de la rançon n'est pas fixe comme Locky, Petya ou encore Wannacry. Le "tarif" est adapté par rapport au destinataire du ransomware. Il est bien évidemment déconseillé de répondre favorablement à une demande de rançon Ryuk. Pour plusieurs raisons. La première est que vous n’êtes pas certain que votre système informatique sera débloqué après la transaction. Deuxièmement, vous n’avez aucune idée de la destination de ces fonds.
Une attaque par Ryuk peut servir à financer de plus grandes attaques informatiques au niveau mondial et même alimenter le grand banditisme. Le nombre de victimes est considérable et s’établit aujourd’hui à beaucoup de victimes notamment de grandes entreprises et des etablissements de santé. Le butin est pharamineux et s’élève à plus de 60 millions de dollars versés par les victimes.
Comment fonctionne le ransomware Ryuk ?
Ryuk s’infiltre dans votre système Windows en exploitant la faille de sécurité de la pièce jointe piégée pour installer le logiciel malveillant dès que celle-ci est ouverte.
Le ransomware Ryuk se transmet via les logiciels malveillants TrickBot, Emotet, BazarLoader, Buer et Silent Night contenus dans les pièces jointes envoyés lors de campagnes de mails. Sopra Steria a été touché, ainsi que les hopitaux américains UHS. La negligence, la confiance en l'expéditeur et surtout l'email très bien fait qui ne laisse présager aucune arnaque, font que beaucoup tombent dans le piège de Ryuk. Le ransomware, ainsi installé, se propage à travers les réseaux.
Ryuk s'affiche sur les écrans dans une fichier notepad "RyukReadMe.txt", signalant que la rançon doit etre payé car l'ordinateur a été crypté avec le niveau de cryptage AES-256 bits.
Les entreprises spécialisés dans la cybersécurité sont alors toutes mises à contribution pour trouver une solution de contournement ou une manière de déverrouiller le système pour éviter de payer la rançon.
Qui est à l’origine du ransomware Ryuk ?
Il est toujours difficile de retrouver les auteurs d’attaques de si grande ampleur. En effet, l’organisation dont bénéficie ce type d’individus ne laissent pas la place à l’amateurisme. De plus, son mode de propagation rapide ne facilite pas l’identification du point d’entrée qui a servit à la diffusion du ransomware Ryuk.
D'après l'ANSSI et FireEye, le groupe WizardSpider, celui portant le nom de UNC1878 et FIN6 pourraient être à l'origine de la création des logiciels malveillants ayant permis à Ryuk de se propager sur les réseaux d'entreprise.
Comment se protéger du ransomware Ryuk ? (Les précautions à prendre)
Il y a une liste de précautions à prendre pour se protéger de Ryuk et plus largement de toutes les menaces que courrent les particuliers, comme les entreprises. Beaucoup sont tombés de haut en apprenant que Ryuk les avait ciblés à cause d’une faille de sécurité qui aurait pu être résorbés depuis longtemps. A l’inverse, d’autres ont pu se réjouir que leur système n’ait pas plié face à Ryuk. Ils devront tout de même rester vigilant car d’autres ransomwares existent, ainsi que d’autres logiciels malveillants tout aussi dangereux. Les precautions à prendre sont nombreuses mais nécessaires.
Mettez à jour votre système !
Les pires ransomwares comme Ryuk utilisent les failles de sécurité contenus dans Windows. Un système à jour évite que les hackers les exploitent et prennent en otage vos données comme avec le ransomware Ryuk. Souvent les entreprises n’appliquent pas les mises à jour en automatique car elles ont besoin de voir dans un environnement de test, ce que cela apporte vraiment. Elle les applique alors au cas par cas sur les ordinateurs des collaborateurs. Peu importe l’organisation, il est indispensable que les mises à jour de sécurité soient installés et ferment la porte aux hackers.
Évitez à tout prix les systèmes d’exploitation qui n’assurent plus de support à leurs utilisateurs car ils ne sont plus tenus de vous prévenir en cas de mises à jour. Cela concerne aussi les logiciels qui vous servent d’outils de travail au quotidien. Microsoft, par exemple, annonce à l’avance, la fin du support des systèmes d’exploitation qu’il a commercialisé. C’est le cas de XP, Vista, Seven et très recemment de Windows 8.1.
Utiliser un VPN pour voir sans être vu
Lorsque vous êtes connecté au réseau, votre ordinateur est, de facto, vulnérable aux attaques de hackers, même peu expérimentés. Avec un VPN, votre adresse IP est remplacée par celle fournie par le serveur VPN. Votre trafic est crypté et ne peut etre vu par personne. Les réseaux wifi publics sont une aubaine pour rester connecté au réseau mais peuvent être le terrain de jeux de hackers. Ils pourront facilement s’introduire chez vous par le réseau et y semer un ransomware comme Ryuk . Les meilleurs VPN vous garantissent un anonymat total et une protection de votre vie privée.
Méfiez-vous des pièces jointes dans vos e-mails reçus!
Dans le cas d’un ransomware, il n’est pas impossible que la messagerie personnel ou d’entreprise soit utilisée pour vous indiquer les consignes à suivre pour effectuer le règlement de la rançon. Il est même possible qu’au moment de l’envoi de l’email, vos données n’ont toujours pas été cryptés et verrouillés par les hackers. Vous ne le savez pas encore mais en cliquant sur le lien contenu dans l’email, le ransomware peut alors s’installer. Évitez donc de cliquer sur des liens suspects et les pièces jointes envoyés par des expéditeurs inconnus.
Les meilleurs antivirus sont d’ailleurs équipés pour les reconnaitre et pourront les bloquer pour vous. La pédagogie est de mise auprès des collaborateurs dans une entreprise car ils sont parfois victimes de tentatives hameçonnage (phishing) ou à l’origine de la propagation du ransomware dans l’entreprise. Même quand ils sont en télétravail. Les dégâts causés par Ryuk témoignent de l’impact que cela peut avoir pour l’accès aux données importantes et même pour sa réputation.
Si à l’ouverture d’un fichier reçu, un message vous demande de valider l’activation des macros, ne le faites pas. Dans certains cas, c’est comme cela que commence une attaque de ransomware. Vérifier la fiabilité de votre expéditeur et si nécessaire, prenez contact avec lui.
Faites attention aux sites Web infectés
Certains sites web ne sont clairement pas fiables. Même s’ils inspirent confiance avec leur connexion https, ils peuvent dissimuler des liens qui déboucheront sur l’installation de logiciels malveillants sur votre ordinateur. Le phishing est aussi un risque majeur que vous prenez en allant sur ce type de sites. Sachez que des outils existent pour vous alerter que le site que vous désirez visiter est dangereux. De plus, les meilleurs antivirus comme Kaspersky disposent d’une base de donnée régulièrement à jour pour vous prévenir de la fiabilité du site web, quand le logiciel est activé. Lisez notre article complet sur le sujet pour vous protéger sur Internet.
Restez informé !
Les organismes étatiques tel que l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et le site Cybermalveillance.gouv.fr ont un rôle important en France dans le domaine de la cybersécurité. Le premier s’emploie à conseiller et alerter contre les menaces, tel que le ransomware Ryuk, qui peuvent vous toucher. De plus, l’ANSSI apporte son aide aux administrations et à plus de 200 opérateurs d’importance vitale nationale (OIV) pour faire face aux attaques dont elles peuvent être la victime. Le second est un portail pour particuliers et entreprises dans la déclaration d’actes de malveillance sur Internet. La prise en charge est assurée pour que ayez les moyens de vous défendre.
Sauvegardez régulièrement et en sécurité
Le ransomware est en quelque sorte un chantage exercé sur vos données les plus importantes. Au delà de la faille de sécurité par laquelle il s’est introduit, vous ne devriez pas payer pour avoir accès à vos fichiers. Deux solutions s’offrent à vous : Dire potentiellement adieu à vos données en déclarant le ransomware Ryuk vainqueur par KO ou récupérer la dernière sauvegarde effectuée la veille. Mieux vaut prévenir que guérir ! Les sauvegardes vont sauveront la mise plus d’une fois. Que ce soit en cas de chiffrement par un ransomware ou en cas de panne de votre ordinateur. Bien organiser les sauvegardes est aussi essentiel. Pour les retrouver et les restaurer rapidement. Et surtout, pour avoir le moins de travail à rattraper entre deux sauvegardes.
Un antivirus présent sur tous les tableaux
L’antivirus est l’outil indispensable sur chaque ordinateur pour vous protéger des nombreuses menaces (ver, virus, ransomware, hameconnage, cheval de troie, etc…). Avec une présence en temps réel sur votre ordinateur, il surveillera tout comportement suspect et pourra même vous prodiguer quelques conseils pour votre sécurité. Les ransomwares comme Ryuk qui tenteront de s’infiltrer, ne pourront pas accéder à votre ordinateur. Dans vos navigations sur Internet, il vous alertera si vous tentez d’aller sur un site web qui n’est pas fiable. Les offres proposées par les éditeurs de logiciel antivirus vous permettront en plus d’installer simultanément leur solution de sécurité sur plusieurs ordinateurs, mais aussi sur smartphone.
Kaspersky a mis en place le site No Ransom pour aider les victimes de ransomwares dans l’identification exacte de la menace, et pour aider à déchiffrer les données bloqués, à l’aide d’outils dédiés.
Conclusion
Ryuk est une menace à prendre au sérieux. Malheureusement, on a tendance à ne s’y intéresser que quand on y est directement confronté. On ne le répetera jamais assez : Ne payez pas la rançon. De nombreux interlocuteurs dans la cybersécurité, des outils et les meilleurs antivirus existent pour vous protéger en amont de Ryuk et de tous les autres ransomwares, dont vous pourriez être la victime.