La semaine dernière, Sopra Steria a annoncé être la victime d'une cyberattaque détectée le 20 octobre au soir sur son réseau informatique. Rapidement, des soupçons d'une attaque par ransomware Ryuk ont circulé.
Aujourd'hui, l'entreprise française de services du numérique confirme qu'il s'agit bel et bien du ransomware Ryuk, mais avec ce qui est présenté comme une nouvelle version jusqu'à maintenant " inconnue des éditeurs d'antivirus et des agences de sécurité. "
Sopra Steria indique que la cyberattaque a été lancée quelques jours avant sa détection. La signature de la nouvelle version du rançongiciel a été communiquée à tous les éditeurs d'antivirus. Par ailleurs, l'entreprise souligne qu'il n'y a pas eu de fuite de données ou de dommages causés aux systèmes d'information de ses clients.
La propagation du ransomware aurait été contenue et limitée à une partie des installations du groupe. Un retour à la normale du système d'information sera progressif et devrait durer " quelques semaines. " Dans sa communication, Sopra Steria ne fait pas mention d'une rançon exigée par les attaquants.
Selon un rapport de SentinelLabs, Ryuk s'attaque actuellement à environ une vingtaine d'organisations par semaine. Une tendance qui évoluera à la hausse en fonction du succès des attaques. Des vecteurs de diffusion de Ryuk sont Emotet et Trickbot.
SentinelLabs souligne en outre la propension des attaquants à se tourner rapidement vers des vulnérabilités nouvellement exploitées, et donne l'exemple de Zerologon pour laquelle Microsoft a publié un patch en août (CVE-2020-1472).
Trend Micro explique que Zerologon est une vulnérabilité dans la cryptographie du processus Netlogon de Microsoft. Son exploitation permet " d'attaquer les contrôleurs de domaine Microsoft Active Directory, rendant possible pour un attaquant de se faire passer pour un autre ordinateur, y compris le contrôleur de domaine racine. "