Suite à une longue période de silence, une nouvelle campagne de spam initiée par les acteurs de Ryuk a été identifiée. Celle-ci fait partie d’une nouvelle vague d’attaques. Vers la fin du mois de Septembre, l’équipe Managed Threat Response de Sophos a apporté de l’aide à une organisation afin d’atténuer une attaque Ryuk, en proposant un aperçu de la progression des outils, techniques ainsi que pratiques des acteurs Ryuk.

Depuis le début de la crise du COVID-19, l’activité de Ryuk a vu une baisse. Certains supposaient que les acteurs Ryuk étaient passés à une version rebaptisée du ransomware, appelée Conti. La campagne ainsi que l’attaque étudiées par nos soins étaient intéressantes car elles ont marqué le retour de Ryuk avec certaines modifications légères, mais ont aussi montré une évolution des outils employés afin de compromettre les réseaux visés et déployer le ransomware. L’attaque était aussi notable grâce à la rapidité avec laquelle les attaques peuvent passer de la compromission initiale des fichiers, jusqu’au déploiement même du ransomware.

Moins de trois heures et demie après l'ouverture d'une pièce jointe à un e-mail de phishing, les attaquants effectuaient déjà une reconnaissance du réseau. En l'espace d'une journée, ils avaient eu accès à un contrôleur de domaine et en étaient aux premiers stades d'une tentative de déploiement de ransomware. Les assaillants étaient persistants. Alors que les tentatives de lancement de l'attaque échouaient, les acteurs de Ryuk ont ​​tenté à plusieurs reprises au cours de la semaine suivante d'installer de nouveaux logiciels malveillants et autres ransomwares, y compris de nouvelles tentatives de phishing pour rétablir leur ancrage. Avant la fin de l'attaque, plus de 90 serveurs et autres systèmes étaient impliqués dans l'attaque, bien que le ransomware ait été bloqué pour une exécution complète.