Ryuk a l’origine de la cyberattaque sur Sopra Steria?

Temps de lecture : 2 min

Référence dans l’univers des ransomwares, Ryuk semble s’être introduit chez Sopra Steria. A ce jour, l’ESN se déclare simplement victime d’une cyberattaque.
Ryuk a l'origine de la cyberattaqye sur sopra steria - Article
Table des matières

Ryuk, à l’assault de la 6ème plus grosse ESN française ?

Une semaine après avoir échanger autour de la problématique « Comment réussir sa gestion de crise » avec les visiteurs des Assises de la cybersécurité. La sixième plus grosse ESN française : Sopra Steria n’imaginait pas qu’elle allait se trouver quelques jours plus tard mise en situation. Ce jeudi 21 octobre, vers 19 h, elle a émis un court communiqué faisant état d’une cyberattaque à son encontre, détectée la veille au soir.

Montant moyen, en dollars, des rançons exigées entre août 2018 et décembre 2019 par Ryuk et les autres ransomwares (source Coveware)

RYUK - montant des ransomware

Pas de confirmation, mais la principale piste qu’on évoque est celle de Ryuk, un bourreau tristement célèbre. Le FBI le présentait, en mars dernier à la conférence RSA, comme le plus rentable des ransomwares. Avec, en l’occurrence, 61 millions de dollars collectés entre février 2018 et octobre 2019.

Sopra Steria, pas la première entreprise française touché par Ryuk ?

Dans son étude technique, l’ANSSI met en avant la capacité de Ryuk à contourner les solutions antivirales. Elle souligne aussi la tendance de ses exploitants à réaliser une « étude approfondie » de leurs cibles. Et à faire varier le message de rançon en fonction de l’importance accordée aux victimes.
Son rapport « État de la menace rançongiciel » publié en début d’année établit un lien avec FIN6. Ce groupe cybercriminel russophone se spécialisait initialement dans la compromission d’entités du secteur financier et de terminaux en points de vente.
Le document liste des victimes en France : Travel Technologies Interactive et Fleury Michon, mais aussi Bouygues Construction, à travers une filiale canadienne.

D’où vient ce ransomware ?

Plusieurs pistes sont évoquées : Le trojan bancaire TrickBot pourrait être l’un des vecteurs de diffusion de Ryuk. On trouve en tout cas régulièrement l’un et l’autre sur les machines infectées. Le phishing est un autre canal, apparemment en combinaison avec la faille Zerologon.

Un communiqué a été partagé par le groupe français Sopra Steria après cette attaque. Martial Gervaise, le directeur de la cybersécurité chez Orange réagit sur twitter : « Cette attaque paralyse une grosse partie de la société, plus de 45 000 salariés sont concernés. »

Nous vous proposons...

All articles loaded
No more articles to load