Picus Security a publié une analyse complète du groupe de ransomware Ryuk mettant en lumière leurs attaques ciblées contre des grandes organisations, notamment dans le secteur de la santé et les entités gouvernementales. L’analyse cartographie la chaîne d’attaque de Ryuk selon le cadre MITRE ATT&CK, couvrant des tactiques allant de l’accès initial par hameçonnage ciblé au mouvement latéral, l’escalade de privilèges, et l’impact final de chiffrement.
Les principales découvertes incluent l’utilisation par Ryuk de techniques de chiffrement à double impact, la désactivation systématique des services de sauvegarde, et des méthodes d’évasion sophistiquées. La plateforme Picus Security Validation Platform est mise en avant pour sa capacité à simuler ces attaques afin de tester les défenses organisationnelles et identifier les failles de sécurité avant que les attaquants ne puissent les exploiter.
L’analyse technique détaille la méthodologie d’attaque en plusieurs étapes de Ryuk, y compris les techniques de découverte utilisant des scripts Adfind.bat pour l’énumération d’Active Directory, les attaques Kerberoasting via l’outil Rubeus pour la collecte d’identifiants, et l’escalade de privilèges utilisant PowerLine avec les fonctions PowerView. Le malware emploie l’évasion de défense en manipulant les politiques d’exécution de PowerShell et désactive systématiquement les services de sauvegarde via des scripts batch.
La phase de chiffrement utilise les algorithmes AES-256 et RSA-4096 avec l’extension de fichier .ryk, tandis que la chaîne d’attaque s’appuie sur des outils comme Emotet et TrickBot pour l’accès initial. Chaque technique est mappée à des tactiques spécifiques de MITRE ATT&CK avec des sous-techniques correspondantes.
Cet article se présente comme une analyse de menace visant à fournir un aperçu détaillé des tactiques et techniques utilisées par le groupe Ryuk, et à démontrer l’efficacité de la simulation d’attaques pour améliorer la sécurité organisationnelle.
🧠 TTPs et IOCs détectés
TTPs
Accès initial par hameçonnage ciblé, Mouvement latéral, Escalade de privilèges, Chiffrement à double impact, Désactivation des services de sauvegarde, Évasion de défense par manipulation des politiques d’exécution de PowerShell, Utilisation de scripts Adfind.bat pour l’énumération d’Active Directory, Attaques Kerberoasting avec Rubeus, Escalade de privilèges avec PowerLine et PowerView, Utilisation d’Emotet et TrickBot pour l’accès initial
IOCs
Extension de fichier .ryk, Utilisation d’algorithmes AES-256 et RSA-4096
🔗 Source originale : https://www.picussecurity.com/resource/blog/ryuk-ransomware-attack-chain-impact