• 87% des ransomware trouvés sur le dark web ont été fournis par le biais de macros malveillantes pour infecter des systèmes ciblés.
• 30 « marques » différentes de ransomwares ont été identifiées sur des listes de marché et des discussions de forums.
• De nombreuses souches de ransomware vendues — telles que Babuk, GoldenEye, Darkside/BlackCat, Egregor, HiddenTear et WannaCry — ont été utilisées avec succès dans des attaques très connues.
• Des souches de ransomware utilisées dans des attaques très connues sont fournies à un prix supérieur pour les services associés. Par exemple, la liste la plus onéreuse s’élevait à 1 262$ pour une version personnalisée du ransomware Darkside, qui a été utilisée dans la tristement célèbre attaque du Colonial Pipeline en 2021.
• Les listes de codes sources pour des ransomware bien connus s’élèvent généralement des prix supérieurs, le code source Babuk est facturé à $950 et le code source Paradise se vend pour $593.

« Les ransomwares restent l’un des plus gros risques en matière de cybersécurité pour chaque organisation, » a déclaré Kevin Bocek, vice-président de Venafi, chargé de la stratégie de sécurité et des renseignements sur les menaces. « L’attaque par ransomware sur Colonial Pipeline était si grave qu’elle a été considérée comme une menace pour la sécurité nationale, forçant le président Biden à déclarer un état d’urgence ».

Des macros sont utilisées pour automatiser des tâches communes dans Microsoft Office, afin d’augmenter la productivité. Toutefois, les assaillants peuvent utiliser cette même fonctionnalité pour diffuser de nombreux types de malware, y compris des ransomwares. En février, Microsoft a annoncé un changement majeur visant à combattre la croissance rapide des attaques de ransomwares réalisées par le biais de macros malveillantes, mais ils sont temporairement revenus sur leur décision en réponse aux retours de la communauté.

« Puisque presque n’importe qui peut lancer une attaque par ransomware en utilisant une macro malveillante, la décision de Microsoft de revenir en arrière sur la désactivation des macros devrait faire fuir tout le monde », a déclaré Bocek. « Bien que l’entreprise ait changé de cap une deuxième fois sur la désactivation des macros, le fait qu’il y ait eu des réactions négatives de la part de la communauté des utilisateurs suggère que les macros pourraient persister comme vecteur propice aux attaques. »

Outre une variété de ransomwares à différents prix, l’étude a également découvert une vaste gamme de services et d’outils qui aident les agresseurs qui sont dotés d’un minimum de compétences à lancer des attaques de ransomwares. Les services qui disposent du plus grand nombre de listings comprennent ceux offrant un code source, des services de constructions, des services de développement personnalisés, et des packages de ransomwares qui comprennent des tutoriels pas à pas.

Des services de constructions de ransomwares génériques sont également proposés à des prix élevés, certains listings coûtant plus de 900$. À l’autre extrémité du spectre de prix, de nombreuses options de ransomware à bas prix sont disponibles dans de nombreuses listings – avec des prix partant de 0,99 $ pour les ransomwares Lockscreen.

Ces découvertes représentent un autre exemple de la nécessité d’un plan de contrôle de la gestion de l’identité machine visant à obtenir des résultats commerciaux spécifiques y compris l’observabilité, la cohérence et la fiabilité. En particulier, la signature de code est un contrôle de sécurité de la gestion d’identité machine essentiel qui élimine la menace de ransomwares activés par macro.

« L’utilisation de certificats à signature de code pour authentifier des macros signifie que toute macro non-signée ne peut pas être exécutée, ce qui stoppe les attaques de ransomwares consécutives » conclut Bocek. « C’est une opportunité pour permettre aux équipes de sécurité de progresser et de protéger leurs entreprises, en particulier dans le domaine bancaire, de l’assurance, de la santé et de l’énergie où des macros et des documents Office sont utilisés tous les jours pour renforcer la prise de décision. »

À propos de l’étude
Cette étude a été réalisée entre novembre 2021 et mars 2022 par Venafi en partenariat avec Forensic Pathways, qui a développé le moteur de recherche Dark Search Engine (DSE), un crawler / scraper automatisé du Dark Web Tor. Onion. L’outil de renseignement contient plus de 35 millions d’URL dans son index.
Des informations publiquement disponibles, comme PC Risk, ont été utilisées pour déterminer si des macros malveillantes ont été utilisées dans le vecteur d’attaque initial.