Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les 8 salopards : Kaspersky publie un guide pratique des techniques des principaux groupes de ransomware

juin 2022 par Kaspersky

L’équipe de renseignement sur les menaces (Threat Intelligence) de Kaspersky a analysé les tactiques, techniques et procédures (TTP) les plus courantes utilisées par les huit groupes de ransomware les plus prolifiques, tels que Conti et Lockbit2.0, lors de leurs attaques. La recherche a révélé que les différents groupes partagent plus de la moitié de la chaîne cybercriminelle et exécutent les principales étapes d’une attaque de manière identique. Cette étude monumentale des ransomwares modernes, disponible gratuitement, aidera à comprendre comment les groupes de ransomware opèrent et comment se défendre contre leurs attaques.

L’analyse contenue dans le guide se concentre sur l’activité de Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte et BlackCat. Ces groupes ont été actifs notamment aux États-Unis, en Grande-Bretagne et en Allemagne (mais avec des cas également en France), et ont ciblé plus de 500 organisations dans des secteurs tels que la production industrielle, le développement de logiciels et les petites entreprises, entre mars 2021 et mars 2022.

Ce guide de 150 pages accompagne les lecteurs à travers les étapes du déploiement des ransomwares, la manière dont les cybercriminels utilisent leurs outils préférés et les objectifs qu’ils espèrent atteindre. Les lecteurs peuvent également apprendre à se défendre contre les attaques ciblées de ransomware et découvrir les règles de détection SIGMA, qui peuvent être utilisées pour renforcer leurs mesures préventives contre les attaquants.

L’équipe Threat Intelligence de Kaspersky a analysé la façon dont les groupes de ransomware ont utilisé les techniques et les tactiques décrites dans le rapport MITRE ATT&CK et a constaté de nombreuses similitudes entre leurs TTP tout au long de la chaîne de destruction cybernétique. Les modes d’attaque révélés par les groupes se sont avérés assez prévisibles : des attaques de ransomware suivant un schéma qui inclut le réseau d’entreprise ou l’ordinateur de la victime, la diffusion du malware, une découverte plus approfondie, l’accès aux informations d’identification, la suppression des copies masquées, la suppression des sauvegardes et, enfin, la réalisation de leurs objectifs.

Les chercheurs expliquent également d’où vient la similitude entre les attaques :

• L’émergence d’un phénomène appelé "Ransomware-as-a-Service" (RaaS), où les groupes de ransomware ne délivrent pas eux-mêmes les logiciels malveillants, mais fournissent uniquement les services de chiffrement des données. Comme les personnes qui diffusent les fichiers malveillants veulent aussi se simplifier la vie, elles utilisent des méthodes de diffusion types ou des outils d’automatisation pour obtenir un accès.
• La réutilisation d’outils anciens et similaires facilite la vie des attaquants et réduit le temps nécessaire à la préparation d’une attaque.
• La réutilisation de TTP communs facilite le piratage. Bien qu’il soit possible de détecter ces techniques, il est beaucoup plus difficile de le faire de manière préventive sur tous les vecteurs de menace possibles.
• L’installation lente des mises à jour et des correctifs chez les victimes. Il arrive souvent que ceux qui sont vulnérables soient attaqués.

La systématisation des différents TTP utilisés par les attaquants a conduit à la formation d’un ensemble général de règles SIGMA, conformément à MITRE ATT&CK - ce qui permet de prévenir ces attaques.

"Au cours des dernières années, les ransomwares sont devenus un cauchemar pour l’ensemble du secteur de la cybersécurité, avec des développements et des améliorations constants de la part des opérateurs de ransomwares. Il est long et souvent difficile pour les spécialistes de la cybersécurité d’étudier chaque groupe de ransomware et de suivre les activités et les développements de chacun d’entre eux, dans l’espoir de gagner la course entre les attaquants et les défenseurs. Nous suivons l’activité des différents groupes de ransomware depuis longtemps, et ce rapport est le fruit d’un énorme travail d’analyse. Son objectif est de servir de guide aux professionnels de la cybersécurité travaillant dans toutes sortes d’organisations, afin de leur faciliter la tâche", commente Nikita Nazarov, de l’équipe Threat Intelligence de Kaspersky.

Ce rapport s’adresse aux analystes SOC, aux équipes chargées de traquer les menaces, aux analystes de renseignement sur les menaces, aux spécialistes de la criminalistique numérique et aux spécialistes de la cybersécurité impliqués dans le processus de réponse aux incidents et/ou à ceux qui veulent protéger l’environnement dont ils sont responsables contre les attaques ciblées de ransomware.


Voir les articles précédents

    

Voir les articles suivants