Ransomware Ryuk : une variante capable de se propager sur un réseau

L'ANSSI a découvert une nouvelle variante du ransomware Ryuk qui se comporte comme un ver : elle est en mesure de se propager sur un réseau local, d'une machine Windows à une autre.

C'est par l'intermédiaire d'un nouveau rapport diffusé par l'ANSSI que j'ai pu découvrir l'existence de cette nouvelle variante du ransomware Ryuk, ce dernier faisait déjà beaucoup parler de lui ces derniers mois. L'agence a fait cette découverte début 2021 suite à une enquête menée dans le cadre d’une réponse à incident de sécurité.

Après avoir infecté une première machine, il va chercher à se propager sur le réseau local sur d'autres machines Windows. Autrement dit, il va se copier lui-même sur d'autres machines du réseau, ce qui n'est pas le comportement habituel.

En fait, Ryuk cherche à chiffrer des partages sur d'autres machines à partir de la machine infectée. Pour cela, il va s'appuyer sur le cache ARP de la machine infectée pour obtenir une liste d'adresses IP : pour chacune de ces adresses IP, il va envoyer un paquet Wake-on-LAN dans le but de faire de la découverte réseau et d'allumer les machines, sous réserve que le Wake-on-LAN soit actif sur la cible. Cette fonctionnalité qui s'appuie sur Wake-on-LAN serait présente dans Ryuk depuis 2019, d'après le rapport de l'ANSSI.

L'objectif est simple : trouver les partages sur les machines du réseau local grâce à l'énumération SMB et les chiffrer. Pour rappel, Ryuk crée des fichiers chiffrés avec l'extension .RYK et dépose le fichier RyukReadMe.txt.

En complément, cette variante va copier Ryuk sur l'hôte distant et créer une tâche planifiée pour qu'il soit capable de s'exécuter tout seul. La création de la tâche planifiée passe par l'outil natif de Windows : schtasks.exe. Sur l'hôte distant, l'exécutable a un nom qui a pour suffixe rep.exe ou lan.exe, ce qui donne des noms sous cette forme : xxxxxxxxrep.exe et xxxxxxxlan.exe.

Cette propagation s'appuie sur un compte du domaine avec des privilèges élevés. Pour tenter d'endiguer la propagation, l'ANSSI recommande de modifier le mot de passe du compte utilisé pour la propagation, notamment pour créer les tâches planifiées, et de renouveler le mot de passe du compte KRBTGT du domaine Active Directory. Néanmoins, cela ne changera rien sur les hôtes déjà infectés.

Nous ne sommes pas prêts d'arrêter d'entendre parler de ce fameux ransomware Ryuk.

CERTFR-2020-CTI-011.pdf (ssi.gouv.fr)

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3295 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.