Décryptage et Analyse des ransomwares

Entre les attaques « double extorsion » (chiffrement des données, exfiltration en amont, menace de les rendre publiques) et les attaques « triple extorsion » (ajout des attaques DDoS), l’intensification est réelle.

La double extorsion privilégiée

La tendance des attaques « double-extorsion » a explosé. Cette tactique est renforcée par des attaques DDoS synchronisées, surchargeant les sites Web des victimes et exerçant une pression supplémentaire sur les organisations pour qu’elles coopèrent. Selon Deepen Desai, CISO et VP de la recherche en sécurité chez Zscaler «Il est donc essentiel que les entreprises comprennent mieux le risque que représentent les ransomwares et prennent les précautions nécessaires pour éviter une attaque :  toujours corriger les vulnérabilités, apprendre aux employés à repérer les emails suspects, sauvegarder régulièrement les données, mettre en œuvre une stratégie de prévention des pertes de données et utiliser une architecture Zero Trust pour minimiser la surface d’attaque, empêcher les mouvements latéraux… ».

Les industries cibles

De nombreuses industries différentes ont été ciblées au cours des deux dernières années par des attaques de ransomware procédant à une double extorsion.

Voici les 5 industries les plus ciblées :

– Industrie manufacturière (12,7 %)

– Services (8,9 %)

– Transports (8,8 %)

– Commerce de détail et de gros (8,3 %)

– Technologie (8 %)

Les 7 familles de ransomwares actives

Découvrez les sept « familles » de ransomware actives selon ThreatLabz

• Maze

Rencontré en mai 2019, Maze est le ransomware le plus couramment utilisé pour les attaques à double extorsion (aurait cessé ses activités en novembre 2020). Les attaquants ont utilisé des campagnes de spam, des kits d’exploitation et des services RDP piratés pour accéder aux systèmes et ont collecté des rançons après avoir chiffré et volé des fichiers dans des entreprises informatiques et technologiques. Les principaux secteurs ciblés : haute-technologie (11,9 %), industrie manufacturière (10,7 %) et services (9,6 %). Il s’est engagé à ne pas cibler les entreprises de santé pendant la pandémie.

• Conti

Repéré en février 2020, Conti partage le code avec le ransomware Ryuk. Conti utilise l’API du gestionnaire de redémarrage de Windows avant de chiffrer les fichiers, ce qui lui permet de chiffrer davantage de fichiers dans son approche de double extorsion. Les victimes ne payant pas la rançon voient leurs données publiées sur le site Web de Conti consacré aux fuites de données. Les secteurs touchés : industrie manufacturière (12,4 %), services (9,6 %) et services de transport (9,0 %).

• Doppelpaymer

Remarqué en juillet 2019, Doppelpaymer cible les industries et demande des paiements importants. Infectant les machines avec un courriel de spam contenant un lien ou une pièce jointe malveillante, il télécharge les logiciels malveillants Emotet et Dridex dans les systèmes infectés. Les organisations ciblées : industrie manufacturière (15,1 %), commerce de détail et de gros (9,9 %) et administrations publiques (8,6 %).

• Sodinokibi

Connu aussi sous le nom de REvil et Sodin, Sodinokibi a été repéré en avril 2019. Il utilise des courriels de spam, des kits d’exploitation et des comptes RDP compromis, et exploite des vulnérabilités dans Oracle WebLogic. Il commence à utiliser des tactiques de double extorsion en janvier 2020, et impacte le transport (11,4 %), la fabrication (11,4 %) et le commerce de détail/de gros (10,6 %).

• Avaddon

Avaddon a été repéré en juin 2020 et utilise des campagnes de spam comme méthode d’infection privilégiée. Il utilise des indices d’ingénierie sociale (emails avec contenu : « Regardez cette photo ! »). Les cibles : industries et organismes gouvernementaux (12,5 %), entreprises de haute-technologie (9,4 %), services financiers à égalité avec les services aux consommateurs.

• RagnarLocker

RagnarLocker a acquis une certaine notoriété en avril 2020 (rançon de 11 millions de dollars à une entreprise dont le nom n’a finalement jamais filtré). Visant les entreprises manufacturières et technologiques, ce ransomware déploie un malware à l’intérieur d’une machine virtuelle Oracle VirtualBox Windows XP pour échapper à la détection. En exécutant le programme dans une machine virtuelle, il accède aux disques locaux, réseaux mappés et disques amovibles des hôtes. Les secteurs touchés :  industrie manufacturière (22,7 %), entreprises de hautes technologies (13,6 %), commerce de détail et de gros, industrie pharmaceutique, construction et secteur juridique.

• DarkSide

Repéré en août 2020, il utilise un modèle de « Ransomware-as-a-Service » et déploie des méthodes de double extorsion pour voler et chiffrer des informations. Le groupe dit ne pas attaquer pas les organisations de santé, les services funéraires, les établissements d’enseignement, les organisations à but non lucratif ou les entités gouvernementales. Les cibles : services, industrie manufacturière, services de transport.

Source Rapport Ransomware Zscaler, Inc.  & Son laboratoire de recherches, ThreatLabZ : Analyse sur plus de 150 milliards de transactions (plateforme cloud de Zscaler) et 36,5 milliards d’attaques bloquées entre novembre 2019 et janvier 202