On estime que l’entreprise criminelle Ryuk ransomware vaut plus de 150 millions de dollars, selon des chercheurs en sécurité.

Initialement détaillé en 2018 et censé être exploité par des cybercriminels russes, Ryuk est devenu l’une des familles de logiciels malveillants les plus répandues, utilisé dans diverses attaques de haut niveau, telles que le ciblage de la chaîne hospitalière DCH Health System, basée en Pennsylvanie, UHS et Alabama.

On pense que Ryuk est exploité par les mêmes cybercriminels que le cheval de Troie TrickBot, et sa distribution a été associée au botnet TrickBot, qui a survécu en octobre à une tentative de retrait.

[[LIRE AUSSI: Anatomie de l’attaque de Ryuk: 29 heures pour un compromis complet]

En octobre 2020, le rapport DFIR a publié une analyse complète d’une attaque Ryuk, expliquant comment les opérateurs utilisaient les e-mails de phishing comme vecteur d’attaque initial, effectuaient une reconnaissance approfondie sur le réseau local, puis procédaient au déploiement et à l’exécution de Ryuk.

Les attaquants ont déployé Ryuk 29 heures après le compromis initial et ont exigé le paiement d’une rançon d’environ 6 millions de dollars. La plupart des paiements que les opérateurs de Ryuk reçoivent (principalement par l’intermédiaire d’un courtier) s’élèvent à des millions de dollars, mais la plupart d’entre eux sont de l’ordre de centaines de milliers.

S’attaquer à des victimes très médiatisées semble avoir permis aux opérateurs de Ryuk de créer une entreprise très lucrative, qui aurait pu générer plus de 150 millions de dollars de revenus au cours des deux dernières années et demie.

L’estimation a été faite par Brian Carter, chercheur principal à HYAS, et Vitali Kremez, PDG et président d’Advanced Intelligence LLC, après avoir examiné les transactions pour les adresses Bitcoin connues associées à Ryuk.

Carter et Kremez ont pu retracer 61 adresses de dépôt associées au ransomware et ont découvert que la majorité des fonds étaient envoyés à des bourses par des intermédiaires, pour être encaissés.

Les cybercriminels semblent être principalement …