Flexibles, industrialisés et politiques : les gangs de ransomware ont un nouveau visage en 2022.

0

La Femme (nouveau visage en 2022) – Les opérations liées aux ransomwares ont parcouru un long chemin – après des débuts quelque peu clandestins et amateurs on observe aujourd’hui de véritables organisations disposant de marques de fabrique et styles distincts qui rivalisent sur le dark web. De manière générale, elles continuent à se développer et à prospérer malgré le démantèlement de quelques-uns des principaux groupes d’attaquants. Les groupes liés au ransomware parviennent à trouver des manières inhabituelles d’attaquer leurs victimes ou ont recours au détournement d’information pour rendre leurs attaques plus pertinentes.

Les experts de Kaspersky gardent toujours un œil sur les activités de ces gangs et, dans le cadre de la journée Anti-Ransomware (le 12 mai), ils ont sorti un rapport qui récapitule les principales tendances identifiées en 2022, en matière de ransomware.

La première tendance notable est l’utilisation prolifique par les groupes de ransomware de capacités cross-plateformes. Ces derniers temps, ils ont pour objectif d’endommager autant de systèmes que possible avec le même malware en écrivant du code qui peut être exécuté sur plusieurs systèmes d’exploitations à la fois. Conti, l’un des groupes ransomware les plus actifs, a développé un variant, distribué par le biais d’affiliés sélectionnés, et qui cible Linux. A la fin de l’année 2021, Rust et Golang, des langages de programmation cross-plateformes, se sont répandus. BlackCat, auto-proclamé « gang de malware nouvelle génération » qui aurait attaqué plus de 60 organisations depuis Décembre 2021, a écrit ses malwares en langage Rust. Golang a été utilisé dans les ransomware de DeadBolt, un groupe tristement connu pour ses attaques sur QNAP.

De plus, à la fin de l’année 2021 et au début de l’année 2022, les groupes d’attaquants ont poursuivi les activités destinées à faciliter leurs processus commerciaux, y compris en changeant de marque régulièrement pour détourner l’attention des autorités, et en mettant à jour leurs outils d’exfiltration. Certains groupes ont développé, et implémenté des boites à outils complètes qui ressemblent à celles d’entreprises de logiciels inoffensifs. Lockbit est un exemple remarquable de l’évolution d’un gang de ransomware. L’organisation s’enorgueillit d’une série d’améliorations par rapport à ses rivaux, notamment des mises à jour et des réparations régulières de son infrastructure. Elle a également présenté pour la première fois StealBIT, un outil ransomware d’exfiltration personnalisé qui permet d’exfiltrer des données à la vitesse la plus élevée jamais atteinte, signe du travail acharné du groupe en matière de processus d’accélération des logiciels malveillants.

La troisième tendance observée par les experts de Kaspersky résulte de la situation géopolitique, faisant référence au conflit en Ukraine, qui a fortement impacté le paysage des ransomwares. Même si de telles attaques sont généralement plutôt associées aux acteurs de menaces persistantes avancées (APT), Kaspersky a remarqué des activités majeures sur les forums de cybercrime, et des actions menées par les acteurs de ransomware, en réponse à la situation. Peu après le début du conflit, les groupes de ransomware ont pris parti, ce qui a débouché sur des attaques motivées politiquement par quelques gangs ransomware, en soutien à la Russie, ou à l’Ukraine. L’un des malwares fraichement découverts pendant le conflit est le Freeud, développé par des soutiens ukrainiens. Freeud contient des fonctionnalités de wiper. Si le malware contient une liste de fichiers, plutôt que de les chiffrer, le malware les efface du système.

« Si l’année dernière, nous expliquions que le ransomware était en plein essor, cette année, ils sont en pleine floraison. Même si certains groupes de ransomwares actifs ces dernières années ont été forcés d’abandonner, de nouveaux acteurs sont arrivés avec des techniques encore jamais vues » explique Dmitry Galov, chercheur en sécurité au GReAT de Kaspersky. « Néanmoins, puisque les menaces liées aux ransomwares évoluent et s’étendent à la fois techniquement et géographiquement, elles deviennent aussi plus prévisibles, ce qui nous permet de mieux les détecter et nous défendre face à elles. »

Tout savoir sur les nouvelles tendances liées au ransomware sur le rapport Securelist.

SAVE THE DATE

Le 16 mai, à 16h CET, Dmitry Galov, chercheur en sécurité chez Kaspersky présentera les dernières tendances observées sur le marché du ransomware, en se focalisant sur les techniques et les cibles des nouveaux groupes d’attaquants. Vous pouvez vous inscrire pour ce webinaire sur ce lien : https://kas.pr/mx4e

CONSEILS DE KASPERSKY – ANTI-RANSOMWARE DAY

A l’occasion de la journée Anti-Ransomware, Kaspersky encourage les organisations à suivre les bonnes pratiques suivantes qui peuvent leur permettre de se protéger contre les ransomwares.

  • Toujours maintenir les logiciels à jour sur tous les appareils que vous utilisez pour empêcher les attaquants d’exploiter les vulnérabilités et d’infiltrer votre réseau.
  • Concentrez votre stratégie de défense sur la détection des mouvements latéraux et des exfiltrations de données vers Internet. Portez une attention spéciale au trafic sortant pour détecter les connections des cybercriminels à votre réseau. Réalisez des sauvegardes hors-ligne que les intrus ne pourront pas trafiquer. Faites-en sorte de pouvoir y accéder rapidement en cas d’urgence, ou de besoin.
  • Activez la protection ransomware sur tous les terminaux. Kaspersky édite une version gratuite de  Kaspersky Anti-Ransomware Tool for Business qui protège les ordinateurs et serveurs des ransomwares et de tous les autres types de malwares, prévient les exploits et est compatible avec des solutions de sécurité déjà installées.
  • Installez des solutions anti-APT et EDR, permettant la découverte et la détection avancée des menaces, l’investigation et la remédiation rapide aux incidents. Garantissez des accès à l’intelligence sur la menace la plus récente à votre équipe SOC et faites-la monter en compétence régulièrement avec des formations professionnelles. Toutes ces possibilités sont disponibles dans l’environnement Kaspersky Expert Security.
  • Garantissez des accès à l’intelligence sur la menace (TI) à votre équipe SOC. Le Kaspersky Threat Intelligence Portal est un accès unique à toute l’intelligence sur la menace de Kaspersky, fournissant des données sur les cyberattaques et des informations remontées par notre équipe depuis plus de 20 ans. Pour aider les entreprises à se doter de capacités de défense efficaces en cette période de turbulences, Kaspersky a annoncé ouvrir un accès gratuit à une information indépendante, constamment mise à jour et sourcée dans le monde entier, à propos des cyberattaques et menaces en cours. Vous pouvez demander l’accès à cette offre ici.

À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr.