Rancongiciel Ryuk
Qu'est-ce que Rancongiciel Ryuk ?
Rancongiciel RyukFamille de rancongiciel ciblee operee par WIZARD SPIDER depuis 2018, qui a extorque de gros montants aupres d'entreprises, hopitaux et collectivites via des intrusions TrickBot.
Ryuk est une famille de rancongiciel observee pour la premiere fois en aout 2018, derivee de Hermes et operee par le cluster criminel WIZARD SPIDER. Contrairement aux rancongiciels de masse, Ryuk etait deploye dans des intrusions ciblees hands-on, generalement apres des infections Emotet et TrickBot offrant un acces complet au domaine. Les operateurs utilisaient Mimikatz, BloodHound, Cobalt Strike et SSH pour se propager avant de chiffrer serveurs et postes. Les rancons atteignaient frequemment plusieurs millions USD en Bitcoin. Parmi les victimes : Universal Health Services, plusieurs hopitaux americains en 2020 et la ville de la Nouvelle-Orleans. Vers 2021, l'essentiel de l'operation Ryuk a migre vers la marque Conti, qui en a herite outils et personnel.
● Exemples
- 01
Un reseau hospitalier est chiffre par Ryuk apres qu'une infection TrickBot fournit l'acces Domain Admin via un seul poste compromis.
- 02
Les defenseurs appliquent la segmentation reseau et les sauvegardes offline inspirees des rapports d'incidents Ryuk / TrickBot.
● Questions fréquentes
Qu'est-ce que Rancongiciel Ryuk ?
Famille de rancongiciel ciblee operee par WIZARD SPIDER depuis 2018, qui a extorque de gros montants aupres d'entreprises, hopitaux et collectivites via des intrusions TrickBot. Cette notion relève de la catégorie Logiciels malveillants en cybersécurité.
Que signifie Rancongiciel Ryuk ?
Famille de rancongiciel ciblee operee par WIZARD SPIDER depuis 2018, qui a extorque de gros montants aupres d'entreprises, hopitaux et collectivites via des intrusions TrickBot.
Comment fonctionne Rancongiciel Ryuk ?
Ryuk est une famille de rancongiciel observee pour la premiere fois en aout 2018, derivee de Hermes et operee par le cluster criminel WIZARD SPIDER. Contrairement aux rancongiciels de masse, Ryuk etait deploye dans des intrusions ciblees hands-on, generalement apres des infections Emotet et TrickBot offrant un acces complet au domaine. Les operateurs utilisaient Mimikatz, BloodHound, Cobalt Strike et SSH pour se propager avant de chiffrer serveurs et postes. Les rancons atteignaient frequemment plusieurs millions USD en Bitcoin. Parmi les victimes : Universal Health Services, plusieurs hopitaux americains en 2020 et la ville de la Nouvelle-Orleans. Vers 2021, l'essentiel de l'operation Ryuk a migre vers la marque Conti, qui en a herite outils et personnel.
Comment se défendre contre Rancongiciel Ryuk ?
Les défenses contre Rancongiciel Ryuk combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Rancongiciel Ryuk ?
Noms alternatifs courants : Ryuk de WIZARD SPIDER.
● Termes liés
- malware№ 900
Rançongiciel
Logiciel malveillant qui chiffre les données de la victime ou verrouille ses systèmes et exige une rançon pour rétablir l'accès.
- malware№ 1171
TrickBot
Cheval de Troie bancaire modulaire et framework de post-exploitation opere par WIZARD SPIDER, ayant ouvert la voie aux ransomwares Ryuk, Conti et Diavol.
- malware№ 377
Emotet
Cheval de Troie bancaire modulaire devenu loader malware-as-a-service distribuant des ransomwares affilies, demantele en janvier 2021 par les forces de l'ordre internationales.
- defense-ops№ 193
Cobalt Strike
Plateforme commerciale de simulation d'adversaire tres utilisee par les red teams et frequemment detournee par des attaquants pour le post-exploitation et le command-and-control.