Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Flexibles, industrialisés et politiques : le nouveau visage des gangs de ransomware en 2022

mai 2022 par Kaspersky

Les opérations liées aux ransomwares ont fait un long chemin. Après des débuts quelque peu clandestins et amateurs, on observe aujourd’hui de véritables organisations disposant de marques de fabrique et styles distincts qui rivalisent sur le dark web. De manière générale, elles continuent à se développer et à prospérer malgré le démantèlement de quelques-uns des principaux groupes d’attaquants. Les groupes liés au ransomware parviennent à trouver des manières inédites d’attaquer leurs victimes, ou ont recours au détournement d’information pour rendre leurs attaques plus pertinentes.
Les experts de Kaspersky sont constamment à l’affût des activités de ces gangs. Dans le cadre de la Journée Anti-Ransomware (le 12 mai), ils ont publié un rapport retraçant les principales tendances identifiées en 2022 en matière de ransomware.

La première tendance notable est l’utilisation prolifique par les groupes de ransomware de capacités cross-plateformes. Ces derniers temps, ils ont pour objectif d’endommager autant de systèmes que possible avec le même malware en écrivant du code qui peut être exécuté sur plusieurs systèmes d’exploitations à la fois. Conti, l’un des groupes ransomware les plus actifs, a développé un variant, distribué par le biais d’affiliés sélectionnés, et qui cible Linux. A la fin de l’année 2021, Rust et Golang, des langages de programmation cross-plateformes, se sont répandus. BlackCat, auto-proclamé « gang de malware nouvelle génération » qui aurait attaqué plus de 60 organisations depuis décembre 2021, a écrit ses malwares en langage Rust. Golang a été utilisé dans les ransomware de DeadBolt, un groupe tristement connu pour ses attaques sur QNAP.

De plus, à la fin de l’année 2021 et au début de l’année 2022, les groupes d’attaquants ont poursuivi les activités destinées à faciliter leurs processus commerciaux, y compris en changeant de marque régulièrement pour détourner l’attention des autorités, et en mettant à jour leurs outils d’exfiltration. Certains groupes ont développé et mis en place des boîtes à outils complètes qui ressemblent à celles d’entreprises de logiciels inoffensifs. Lockbit est un exemple remarquable de l’évolution d’un gang de ransomware. L’organisation s’enorgueillit d’une série d’améliorations par rapport à ses rivaux, notamment des mises à jour et des réparations régulières de son infrastructure. Elle a également présenté pour la première fois StealBIT, un outil ransomware personnalisé qui permet d’exfiltrer des données à la vitesse la plus élevée jamais atteinte, signe du travail acharné du groupe en matière de processus d’accélération des logiciels malveillants.

La troisième tendance observée par les experts de Kaspersky résulte de la situation géopolitique, faisant référence au conflit en Ukraine, qui a fortement impacté le paysage des ransomwares. Même si de telles attaques sont généralement plutôt associées aux acteurs de menaces persistantes avancées (APT), Kaspersky a remarqué des activités majeures sur les forums de cybercrime, et des actions menées par les acteurs de ransomware, en réponse à la situation. Peu après le début du conflit, les groupes de ransomware ont pris parti, ce qui a débouché sur des attaques motivées politiquement par quelques gangs ransomware, en soutien à la Russie ou à l’Ukraine. Développé par des soutiens ukrainiens, Freeud figure parmi les malwares fraîchement découverts pendant le conflit, et comporte les fonctions d’un wiper. S’il contient une liste de fichiers, le malware les efface du système plutôt que de les chiffrer.
« S’ils fleurissaient l’année dernière, les ransomwares prolifèrent cette année. Alors que certains groupes de ransomwares actifs ont été contraints d’abandonner ces dernières années, de nouveaux acteurs sont arrivés avec des techniques encore jamais vues » explique Dmitry Galov, chercheur en sécurité au GReAT de Kaspersky. « Néanmoins, puisque les menaces liées aux ransomwares évoluent et s’étendent à la fois techniquement et géographiquement, elles deviennent aussi plus prévisibles, ce qui nous permet de mieux les détecter et nous défendre face à elles. »

CONSEILS DE KASPERSKY – ANTI-RANSOMWARE DAY

A l’occasion de la journée Anti-Ransomware, Kaspersky encourage les organisations à suivre les bonnes pratiques suivantes qui peuvent leur permettre de se protéger contre les ransomwares.
• Toujours maintenir les logiciels à jour sur tous les appareils que vous utilisez pour empêcher les attaquants d’exploiter les vulnérabilités et d’infiltrer votre réseau.
• Concentrez votre stratégie de défense sur la détection des mouvements latéraux et des exfiltrations de données vers Internet. Portez une attention spéciale au trafic sortant pour détecter les connexions des cybercriminels à votre réseau. Réalisez des sauvegardes hors-ligne que les intrus ne pourront pas trafiquer. Faites-en sorte de pouvoir y accéder rapidement en cas d’urgence, ou de besoin.
• Activez la protection ransomware sur tous les terminaux. Kaspersky édite une version gratuite de Kaspersky Anti-Ransomware Tool for Business qui protège les ordinateurs et serveurs des ransomwares et de tous les autres types de malwares, prévient les exploits et est compatible avec des solutions de sécurité déjà installées.
• Installez des solutions anti-APT et EDR, permettant la découverte et la détection avancée des menaces, l’investigation et la remédiation rapide aux incidents. Garantissez des accès à l’intelligence sur la menace la plus récente à votre équipe SOC et faites-la monter en compétence régulièrement avec des formations professionnelles. Toutes ces possibilités sont disponibles dans l’environnement Kaspersky Expert Security.
• Garantissez des accès à l’intelligence sur la menace (TI) à votre équipe SOC. Le Kaspersky Threat Intelligence Portal est un accès unique à toute l’intelligence sur la menace de Kaspersky, fournissant des données sur les cyberattaques et des informations remontées par notre équipe depuis plus de 20 ans. Pour aider les entreprises à se doter de capacités de défense efficaces en cette période de turbulences, Kaspersky a annoncé ouvrir un accès gratuit à une information indépendante, constamment mise à jour et sourcée dans le monde entier, à propos des cyberattaques et menaces en cours.


Voir les articles précédents

    

Voir les articles suivants