Le rançongiciel Bitcoin qui a infiltré 100 entreprises américaines se propage en Chine

Un virus ransomware qui a infiltré avec succès plus de 100 entreprises gouvernementales et privées aux États-Unis et à l'étranger a été détecté en Chine, selon un récent rapport de Tencent Security.rapport.

Surnommé Ryuk, ce code pernicieux cible les « entreprises de logistique, les entreprises Technologies et les petites municipalités » possédant des données de grande valeur, exigeant des primes allant jusqu'à 5 millions de dollars payées en Bitcoin, selon le Federal Bureau of Investigation (FBI).

En janvier, Ryuk était soupçonné d'être à l'origine d'un piratage informatique visant Tribune Publishing, affectant tous les médias du conglomérat médiatique. En juin, les autorités de Lake City, en Floride, ont versé une rançon de 460 000 dollars après la panne des systèmes informatiques de la ville. C'était deux semaines après le piratage de 600 000 dollars de Riviera Beach, en Floride.

On pense que Ryuk est une version modifiée du virus Hermes, qui a fait ses débuts en août 2018. Il se propage via les méthodes habituelles de botnet et de spam, et s'infiltre via des ports IP non défendus.

Une fois installé, le logiciel malveillant supprime tous les fichiers liés à l'intrusion et arrête les processus antivirus, masquant ainsi le vecteur d'infection. Dans un cas, cependant, les agents du FBI ont découvert des preuves que Ryuk était entré via une attaque par force brute utilisant les protocoles Bureau à distance.

L'agence a écrit dans unÉclair:

« Une fois que l'attaquant a obtenu l'accès au réseau de la victime, des outils d'exploitation réseau supplémentaires peuvent être téléchargés... une fois exécuté, Ryuk établit la persistance dans le registre, s'injecte dans les processus en cours d'exécution, LOOKS les systèmes de fichiers connectés au réseau et commence à crypter les fichiers. »

Le virus dépose également un fichier « RyukReadMe » qui ouvre la lettre de chantage dans le navigateur Internet de la victime. La page web HTML affiche uniquement les adresses e-mail des deux pirates en haut à gauche, le nom du virus au centre et la phrase énigmatique « balance of shadow universe » en bas à droite.

Le FBI suit le virus depuis 2018 et a constaté plusieurs modifications. Il semblerait que le variant chinois exécute simultanément un module de chantage 32 BIT et 64 BIT , ce qui pourrait permettre une évolution ultérieure du bug.

Le nombre d'entreprises chinoises infectées au moment de la mise sous presse, ainsi que le montant total de la rançon réclamée par les pirates, n'ont pas été révélés.

Tencent n'a pas répondu à une Request de commentaire concernant cet article.

Pirate informatiqueimage via Shutterstock