Selon l’Unit 42, dans 77% des cas, le vecteur d’entrée principal des ransomwares est la navigation Web
août 2023 par Unité 42 au sein de Palo Alto Networks
Les acteurs de la menace sont en permanence à la recherche de nouvelles façons de déjouer la défense des victimes. Ils se tournent de plus en plus vers l’envoi de ransomwares via des URL. Ils utilisent également des comportements de plus en plus dynamiques pour diffuser leurs rançongiciels. En plus d’emprunter la voie bien connue de l’utilisation de versions polymorphes de leurs ransomwares, les acteurs de la menace alternent souvent les noms d’hôte, les chemins d’accès, les noms de fichiers ou une combinaison des trois pour distribuer largement leurs attaques par ransomwares.
L’Unit 42 de Palo Alto Networks partage son analyse et ses conclusions sur la manière dont les pirates distribuent les ransomwares via des URL et comment ils abusent des fournisseurs d’hébergement, des domaines de premier niveau, des médias sociaux et des services de partage.
La prévalence des rançongiciels fournis par la navigation Web : Les trois méthodes de livraison les plus populaires pour les ransomwares sont les URL, les e-mails et les applications tierces. Les gens rencontrent des rançongiciels diffusés par des URL lorsqu’ils naviguent eux-mêmes sur un site, ou si des logiciels malveillants ou d’autres logiciels placés subrepticement sur un système compromis y accèdent. Les ransomwares livrés par e-mail arrivent sous la forme d’une pièce jointe dans l’e-mail lui-même plutôt que d’une URL de ransomware incluse dans le corps d’un e-mail.
En 2021, l’Unit 42 avait publié un article sur les tendances et méthodes de diffusion des ransomwares. À cette époque, les pièces jointes aux e-mails (par exemple, les protocoles SMTP et POP3) étaient le canal le plus largement utilisé pour la distribution de ransomwares. Plus récemment, leur analyse d’échantillons de ransomwares de toute l’année 2022 a révélé un changement dans le vecteur d’entrée principal pour les infections de ransomwares. La navigation par URL ou sur le Web est devenue la principale méthode de diffusion des ransomwares, représentant plus de 77 % des cas. La diffusion de ransomwares par e-mail a diminué en prévalence pour devenir la deuxième méthode la plus populaire, représentant près de 12 % du total.
Les familles de ransomwares : L’Unit 42 a également observé une variété de familles différentes dans le trafic analysé par son service de détection de ransomware basé sur URL. Les ransomwares Lazy et Virlock, en circulation depuis des années, représentaient plus de 50 % des ransomwares observés par l’Unit 42.
Infrastructure d’hébergement Web : Entre octobre et décembre 2022, les services de filtrage avancé d’URL et de sécurité DNS de l’Unit 42 ont détecté plus de 27 000 URL et noms d’hôtes uniques hébergeant des ransomwares. En analysant les hébergeurs d’URL de rançongiciels, l’Unit 42 a constaté que (à la fin décembre 2022) plus de 20 % des URL que les équipes avaient observées étaient encore actives des jours ou des semaines après que leurs détecteurs les aient signalées. La plupart de ces URL sont des sites Web compromis et n’ont probablement pas été détectées par les propriétaires de sites. Outre l’abus attendu des domaines génériques de premier niveau (gTLD) (par exemple,avec,.filet,.org,.xyz,.haut et.mobi) étant donné qu’ils se taillent la part du lion du marché des domaines, il convient de noter que les attaquants ont également abusé des domaines de premier niveau de code de pays (ccTLD), y compris.ru, et.cn, indiquant peut-être que ces pays ont mis en place des politiques moins strictes pour l’enregistrement des domaines.
Abus de l’hébergement public, des médias sociaux et des services de partage Les auteurs de menaces abusent, profitent ou détournent souvent des produits légitimes à des fins malveillantes. Cela n’implique pas nécessairement un défaut ou une qualité malveillante du produit légitime faisant l’objet d’abus. Les attaquants créent des sous-domaines ou des chemins sous ces services populaires pour atteindre un public plus large et rester sous le radar. Ces URL sont susceptibles de passer entre les mailles du filet de nombreux services de blocage d’URL existants en raison de la bonne réputation de ces services.
Alors que les opérateurs de ransomwares continuent de sonder les défenses des victimes à l’aide d’un ensemble de tactiques en rotation, ces menaces nécessitent une stratégie de défense en profondeur où les fichiers binaires et les URL sont analysés pour détecter de manière proactive les ransomwares afin de sécuriser les réseaux. L’Unit 42 a observé une grande variété de tactiques utilisées par les acteurs de la menace pour distribuer des rançongiciels sur le Web. Les fichiers binaires de ransomware sont souvent livrés à partir de sites Web compromis, ce qui devrait rappeler aux administrateurs de site de maintenir des applications Web à jour afin de minimiser l’impact des vulnérabilités connues.