Le rançongiciel Ryuk activement distribué par les maliciels TrickBot et Emotet à travers des campagnes de messages malveillants

Plusieurs établissements de santé ont récemment été victimes d’actes de cybermalveillance impliquant les maliciels Emotet, TrickBot et Ryuk. Il convient d’y apporter une attention particulière car ces trois maliciels sont utilisés dans des chaînes d’attaques complexes impactant fortement l’activité des victimes.

[Mise à jour 22/02/2021] Il est à noter que des campagnes de scans en provenance des infrastructures des groupes TA505 (cluster d’activtité du rançongiciel Clop) et UNC1878 (cluster d’activité du rançongiciel Ryuk) visant des établissements de santé ont également été signalées. Les attaquants potentiels cherchent en particulier des machines disposant de services ssh, mysql et rdp ouverts, plus de 8000 autres ports sont également scannés.

Emotet est un cheval de troie bancaire apparu en 2014, il est utilisé depuis 2017 comme un loader de seconde charge utile. Sa propagation se fait principalement à travers des pièces jointes de courriels piégés.

TrickBot est un cheval de troie bancaire apparu en 2016 mais il peut être utilisé à d’autres fins, notamment comme loader de seconde charge utile. Sa propagation peut se faire à travers des pièces jointes de courriels piégés ou bien par téléchargement direct via la maliciel Emotet. 

Lorsque TrickBot s’est déployé sur un dispositif, ce dernier va chercher en premier lieu à établir une connexion d’apparence légitime. Il envoie donc des requêtes vers l’extérieur du réseau via le protocole DNS, afin de vérifier qu’il dispose d’un accès internet. Dans un second temps, le maliciel va contacter un serveur Command & Control (C2) afin de télécharger une charge utile. 

Un autre maliciel en vogue est BazarLoader. 
Bazarloader (ou Bazaloader) est un maliciel visant également à télécharger une charge utile, il est considéré pour beaucoup comme une variante de TrickBot et provenant des mêmes créateurs. Une fois que le maliciel est installé sur le dispositif victime, ce dernier va installer une porte dérobée afin de télécharger d’autres composants malveillants. 

Au niveau des charges malveillantes téléchargées, TrickBot et BazarLoader vont typiquement essayer d’installer des modules tiers permettant de faciliter la compromission du parc informatiques où ils se trouvent. Ces logiciels ont pour but de faciliter la reconnaissance, l'élévation de privilèges ou encore la latéralisation, une liste non-exhaustive des logiciels ci-dessous : 

  • Cobalt Strike 

  • PowerShell empire 

  • Bloodhound 

  • Mimikatz 

  • Metasploit 

  • Lazagne 

Les exploitations peuvent également effectuer avec des outils natifs de Windows tels que PowerShell, Windows Management Instrumentation (WMI), Windows Remote Management ou encore via le protocole RDP. 

Une fois ces logiciels installés, ils vont effectuer des tâches, souvent planifiées, permettant de gagner l’accès au plus de machines possible sur le réseau, d’élever leurs privilèges, de désactiver les protections antivirus et de voler des données sensibles telles que des identifiants de connexion. Il est utile de noter que ces étapes, normalement automatisées, peuvent être réalisées directement par les attaquants dans les cas où certains scripts d’attaques échouent. 

Une fois ces tâches effectuées, Ryuk est téléchargé (les méthodes de téléchargement varient). Ce rançongiciel peut rester dormant pendant plusieurs mois avant de se déclencher. Une fois activé, Ryuk encrypte les fichiers du dispositif avec l'algorithme AES-256 dont la clé est elle-même chiffrée via RSA. Ryuk essaie également d’effacer les fichiers de sauvegardes ainsi que les copies de volume effectuées par Windows. 

 

L’ANSSI ainsi que du Cert-US ont observé que les maliciels Emotet, TrickBot et BazarLoader se répandent et infectent leurs victimes via des campagnes d’hameçonnage. Il est également courant que le TrickBot soit téléchargé par le maliciel Emotet également distribué à travers des campagnes de courriels malveillants. 

Une liste de marqueurs de compromission provenant d’un variant d’Emotet et mis à disposition par l'ANSSI sont disponibles ici : https://www.cyberveille-sante.gouv.fr/index.php/node/2373 
Ces marqueurs sont associées au TLP:GREEN ce qui veut dire qu’elles peuvent être partagées avec les membres de votre communauté (vos prestataires informatiques par exemple) mais ne peuvent pas être diffusées sur internet.

Plusieurs indicateurs de compromission sont disponibles afin de détecter la présence de BazaLoader et TrickBot. L’alerte du CERT-US en référence de ce bulletin propose une liste d’adresses IP et de domaines ainsi que les règles YARA associées afin de détecter la présence de TrickBot. 

Un ensemble de règles YARA afin de repérer BazaLoader sont disponibles ici :https://github.com/GossiTheDog/ThreatHunting/tree/master/YARA

Afin d'identifier la présence potentielle d'une activité malveillante, il est recommandé de surveiller les flux entrants/sortants vis-à-vis de l’Internet :

Afin de réduire les risques de propagation, il est recommandé de :

 

[Mise à jour 01/03/2021] L'ANSSI signale l'apparition d'une variante dans le rançongiciel Ryuk. La variante analysée a la capacité, en utilisant les tâches programmées, de se propager à l'intérieur du réseau local de la victime compromise. Afin de se répandre, cette version de Ryuk liste toutes les adresses IPs contenues dans le cache local ARP et envoie des paquets à tous les appareils. L'ANSSI indique que cette variante peut toujours être bloquée dans sa propagation à d'autres hôtes en modifiant le mot de passe du compte privilégié utilisé pour compromettre d'autres postes.

En cas d'infection par un rançongiciel, veuillez suivre scrupuleusement les mesures, préconisées par la cellule ACSS et l’ANSSI, disponibles sur les liens suivants : 

Il est également recommandé de contrôler l'exécution des tâches dans C:\Users\<Utilisateur> car TrickBot opère des modifications sur ces répertoires. 

Pour rappel, il est important de sensibiliser régulièrement le personnel sur le fait de ne jamais ouvrir une pièce jointe ou cliquer sur un lien internet provenant d’un mail douteux. L’hameçonnage par courriel étant le premier vecteur d’infection de ces maliciels. 

https://www.cyberveille-sante.gouv.fr 

https://www.cyberveille-sante.gouv.fr/cyberveille-sante/2315-se-proteger-contre-les-rancongiciels-2021-01-15 

https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares 

En cas d’incident, veuillez déclarer votre incident sur le portail dédié à cet effet : https://signalement.social-sante.gouv.fr/psig_ihm_utilisateurs/index.ht…