Emotet, Trickbot : des vecteurs de diffusion du ransomware Ryuk à prendre très au sérieux

Mi-janvier, Crowdstrike alertait sur la menace grandissante que représente Ryuk pour les entreprises. Après quelques mois d’existence, il aurait déjà rapporté plus de 3,5 millions de dollars à ses opérateurs. L’éditeur expliquait alors que Ryuk était largement distribué via Emotet, souvent conjointement à Trickbot, un maliciel dont l’un des modules est dédié à la collecte d’identifiants devant faciliter le déplacement latéral après la compromission initiale. Pour Marcus Hutchins, le menace est à prendre très au sérieux : « si vous êtes alerté d’une infection par Emotet ou Trickbot sur votre réseau, nettoyez immédiatement. Les deux essaient de se diffuser à tous les systèmes du réseau. Et en cas de réussite, le ransomware Ryuk peut être déployé simultanément sur tous les ordinateurs ». Pire encore, Ryuk ne frappe pas au hasard, mais après une longue et prudente reconnaissance. Du coup, au moment du verrouillage des systèmes, « votre réseau a été infecté depuis des semaines voire des mois ».