AlertesCampagne de rançongiciel Ryuk

Numéro : AL19-202
Date : 04 octobre 2019

OBJET

Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d'offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

APERÇU

Le Centre pour la cybersécurité a pris connaissance du signalement de plusieurs occurrences médiatisées d'attaques au moyen du rançongiciel Ryuk sur de nombreuses cibles, notamment, des gouvernements municipaux et des organismes de santé publique et de sûreté, tant au Canada qu'à l'étranger. On estime que les compromissions font partie d'une campagne d'envergure mondiale menée par des exploitants du rançongiciel Ryuk qui pourraient s'en prendre à d'autres secteurs d'activité.

Selon le Centre pour la cybersécurité, le rançongiciel Ryuk serait l'étape finale d'un processus en trois temps ciblant nombre de réseaux et mené par un auteur ou un groupe d'auteurs particulièrement organisés et efficaces. Il semble que le déploiement du rançongiciel Ryuk aurait lieu après que le réseau ciblé ait été d'abord compromis par Emotet et Trickbot.

ÉVALUATION

Fait important, cette campagne se distingue des autres campagnes de rançongiciel relevées à ce jour par le fait que Ryuk n'est pas en soi l'agent de compromission des systèmes touchés. En fait, Ryuk mise sur une première infection causée par le maliciel Emotet, qui est suivie du déploiement d'un autre maliciel, en l'occurrence Trickbot. Ce processus en trois temps permet aux auteurs malveillants d'effectuer des déplacements latéraux, d'infiltrer l'intégralité du réseau visé, de déterminer la valeur des données conservées dans le système, et de demander une rançon de valeur correspondante. Le recours à Emotet et à Trickbot, des maliciels d'abord conçus pour voler des informations financières et pour collecter des justificatifs d'accès, porte à croire que l'entité responsable de cette compromission pourrait avoir déjà exfiltré de l'information qu'il juge utile avant de déployer le rançongiciel Ryuk. Le Centre pour la cybersécurité n'a encore relevé aucune preuve directe d'exfiltration de données, bien qu'il ait déjà pris connaissance de rapports indiquant que des compromissions semblables à celles causées par la campagne Ryuk ont également servi à voler des données confidentielles.

Les médias ont indiqué que dans certains cas, aucune rançon n'avait été exigée et qu'il était donc possible que le rançongiciel ait été déployé tout simplement pour bloquer l'accès aux informations plutôt que de demander le versement d'une somme d'argent. Le Centre pour la cybersécurité n'est pas en mesure de vérifier cette information, mais il avance que ces compromissions pourraient n'être que des tentatives d'infection qui auraient échoué en raison du fait que la demande de rançon aurait été placée au mauvais endroit dans le système.

Infection

Les principaux vecteurs de compromission de la présente campagne de rançongiciel Ryuk se manifestent par l'intermédiaire de pourriels qui contiendraient des liens ou des fichiers joints malveillants. Les occurrences exposées du service Remote Desktop Services (RDS), auxquels on aurait accédé au moyen de justificatifs d'accès volés ou autrement acquis, pourraient constituer des vecteurs additionnels. 

Suivant la première compromission, le cheval de Troie Emotet est téléchargé et installé dans le système infecté. Initialement, ce cheval de Troie avait été conçu comme maliciel pour les attaques visant les banques, mais des versions ultérieures de ce maliciel ont été élargies pour désormais contenir des services de pourriels et d'installation de maliciels. Emotet emploie des fonctions permettant au logiciel de contourner les mesures de détection appliquées par les produits antimaliciels. De plus, il utilise des capacités semblables à celles des vers pour effectuer des mouvements latéraux et pour ensuite infecter d'autres ordinateurs ainsi que d'autres secteur du réseau touché. Emotet peut rester sur un système infecté pendant un certain temps, pendant que l'auteur qui contrôle le maliciel multiplie ses accès aux différents secteurs du réseau ciblé.

Une fois qu'Emotet a été utilisé pour établir et maintenir une présence dans le réseau touché, le maliciel Trickbot est téléchargé, puis distribué dans le système compromis. Au nombre des capacités de Trickbot, notons la collecte de courriels et de justificatifs d'accès au moyen de l'outil Mimikatz, l'utilisation de l'exploit Eternal Blue pour effectuer des déplacements latéraux dans le réseau, et l'utilisation de modules PowerShell Empire pour l'après-exploitation. De fait, ces capacités permettent à Trickbot de dresser un portrait du réseau, donnant ainsi à l'auteur malveillant une meilleure compréhension des ressources ciblées et de la valeur des donnés que ces ressources renferment. Ce maliciel peut également demeurer sur un système infecté pendant un certain temps, généralement jusqu'à ce que l'auteur malveillant soit prêt à déployer le volet final de son attaque.

Enfin, le rançongiciel Ryuk est téléchargé et lancé sur des système stratégiquement importants, et ce, de façon à prolonger les interruptions de service. L'installateur du maliciel tente de paralyser les logiciels antimaliciel, puis installe la version appropriée de Ryuk, en fonction de l'architecture des systèmes visés. Le rançongiciel n'a pas la possibilité d'effectuer des déplacements latéraux dans un réseau, mais il parvient à recenser les lecteurs réseau partagés, puis à chiffrer les fichiers de tous les lecteurs auxquels il peut accéder. De plus, le rançongiciel tente de manipuler les clichés instantanés de volumes et supprime les copies de sauvegarde, ce qui accentue la perturbation et prévient les tentatives de récupérations des données pour les cas où la rançon ne serait pas versée. À ce stade, Ryuk chiffre tous les fichiers non exécutables et laisse un message de rançon dans le système chiffré.

Commandement et contrôle

Les souches de maliciel Emotet et Trickbot communiquent à l’entité qui contrôle le maliciel au moyen des serveurs de commandement et contrôle (C2), mais il n’existe aucune preuve démontrant que Ryuk utilise les serveurs C2 : après son déploiement, il ne communique plus. Le rançongiel Ryuk semble adapté à chaque victime, quelle que soit l’ampleur des modifications qu’il doit subir. Ainsi, les valeurs de hachage d’infections antérieures par Ryuk risquent de n’être d’aucune utilité dans la détection d’infections supplémentaires.

Détection

Il est important de noter que la présence d’Emotet ou de Trickbot sur un système ne signifie pas nécessairement que celui-ci est également infecté par Ryuk. Dans de telles circonstances, toutefois, il conviendrait de faire une recherche d’indicateurs de Ryuk. Par ailleurs, il se peut que le simple retrait de l’infection Ryuk soit une mesure insuffisante pour éradiquer une chaîne d’infection d’un système ciblé. Si les responsables de système détectent la présence de Ryuk, ils devraient également chercher les indicateurs des maliciels Emotet et Trickbot sur les systèmes en question. Leur présence pourrait se révéler sur des systèmes en réseau qui n’étaient pas touchés par le rançongiciel au départ.

MESURES SUGGÉRÉES

Le Centre pour la cybersécurité recommande aux responsables de système d’installer immédiatement les plus récents correctifs, les plus récentes signatures d’antivirus ainsi que les plus récentes mises à jour de systèmes d’exploitation sur les ordinateurs et sur l’équipement de leurs systèmes. Il tient également à rappeler à ces responsables de système de demeurer vigilants lorsqu’ils décident de suivre des liens non sollicités ou d’ouvrir des fichiers joints inattendus dans les courriels, et ce, même lorsque l’envoyeur est connu. Le Centre pour la cybersécurité recommande que tous les responsables de système envisagent de mettre en œuvre les mesures d’atténuation suivantes qui s’appliquent à leurs systèmes et à leurs réseaux. Il convient toutefois de noter que ces mesures permettront d’empêcher certaines infections, mais elles ne sont pas infaillibles.  

  • Désactivez les services du Bureau à distance si vous n’en avez pas besoin. S'il y a lieu, surveillez les activités suspectes dans le trafic réseau et consultez les journaux des systèmes vulnérables.
  • Bloquez le port TCP 3389 sur le coupe-feu, dans la mesure du possible. Cette mesure empêchera tout accès non autorisé provenant d’Internet.
  • Surveillez attentivement les indicateurs dont il est ici question.
  • Balayez tous les courriels entrants et sortants pour détecter les menaces et empêcher les fichiers exécutables de se rendre à destination.
  • Ne cliquez jamais sur un lien ou une pièce jointe dans un courriel qui provient d’une source inconnue ou non fiable. Inspectez attentivement l’adresse électronique de l’envoyeur, car celle-ci pourrait être différente de l’adresse réelle.
  • Appliquez les contrôles d'architecture pour la séparation des réseaux.
  • Tenez une liste blanche des applications de façon à empêcher les autres applications de s'exécuter.
  • Utilisez des antivirus et veillez à ce qu'ils soient promptement mis à jour/à niveau.
  • Réduisez le nombre d’utilisateurs ayant des privilèges d’administrateur et veillez à ce que les utilisateurs ne disposent pas des droits d’installation de logiciels sur leurs dispositifs, sauf si un administrateur en a décidé autrement.
  • Effectuez des sauvegardes quotidiennes de tous les systèmes essentiels, gardez des copies hors site et hors ligne des supports de sauvegarde, et exécutez périodiquement une récupération pratique des données à partir des sauvegardes, y compris des bases de données importantes, pour assurer l’intégrité des processus et des sauvegardes.
  • Désactivez les macros pour les documents reçus par courriel.
  • En dernière analyse, il est évident que tous doivent suivre les conseils que le gouvernement du Canada a formulés pour garantir la cybersécurité  (https://www.getcybersafe.gc.ca/index-fr.aspx).


DOCUMENTS DE RÉFÉRENCE

Alerte EMOTET de l’US-CERT :
https://www.us-cert.gov/ncas/alerts/TA18-201A

US-MSISAC Security Primer – TrickBot:
https://www.cisecurity.org/white-papers/security-primer-trickbot/

UK-NCSC Ryuk ransomware targeting organisations globally:
https://www.ncsc.gov.uk/news/ryuk-advisory


NOTE AUX LECTEURS

Le Centre canadien pour la cybersécurité (CCC) relève du Centre de la sécurité des télécommunications. À titre d’autorité canadienne en matière de cybersécurité, il dirige les interventions du gouvernement suivant des événements liés à la cybersécurité. Le personnel du CCC agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, avec les propriétaires et les exploitants d’infrastructures essentielles, avec les entreprises canadiennes et avec des partenaires internationaux pour intervenir en cas d’incidents de cybersécurité ou pour atténuer les conséquences qui découlent de ces incidents. Ce faisant, Le Centre pour la cybersécurité offre conseils et soutien d’expert, et coordonne les communications d’information ainsi que les interventions en cas d’incidents. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Dernière mise à jour: