Ransomware : Ces quatre groupes en plein essor représentent la prochaine menace

Spread the love
  • Yum

Ransomware : Ces quatre groupes en plein essor représentent la prochaine menace

Des chercheurs en cybersécurité viennent de lancer une nouvelle alerte contre quatre familles émergentes de ransomware qui pourraient bien constituer la prochaine menace pour la cybersécurité des entreprises. Si certains opérateurs importants de ransomware ont apparemment disparu ces derniers, l’adage selon lequel “la nature a horreur du vide” pourrait en effet se vérifier une nouvelle fois. Les équipes de la société de cybersécurité Palo Alto Networks viennent ainsi de présenter
quatre nouvelles familles de ransomware découvertes au cours de leurs enquêtes et qui, si les circonstances s’y prêtent, pourraient devenir la prochaine grande menace de ransomware.

L’une d’entre elles est LockBit 2.0, une opération de ransomware-as-a-service qui existe depuis septembre 2019 mais a pris une nouvelle envergure au cours de l’été. Le groupe à l’origine de ce ransomware a
remanié ses opérations sur le dark web en juin – lorsqu’ils ont lancé la version 2.0 de LockBit – et une publicité agressive a attiré l’attention des cybercriminels. Selon les chercheurs de Palo Alto Networks, LockBit a compromis 52 organisations dans le monde depuis juin. Le cas le plus notable est sans doute celui d’Accenture, qui a pu restaurer ses données à partir de ses sauvegardes sans avoir à payer de rançon.

LockBit n’est pas la seule forme de ransomware en plein essor. Le ransomware AvosLocker est apparu en juillet et propose un système de ransomware-a-aservice dans lequel les opérateurs se chargent de négocier les rançons. Le groupe à l’origine de ce nouveau ransomware a compromis plusieurs organisations dans le monde, notamment des cabinets d’avocats aux États-Unis et au Royaume-Uni. Comme d’autres groupes de ransomware, AvosLocker divulgue les données volées si la rançon n’est pas payée.

publicité

Des rançons plus faibles qu’auparavant ?

Les rançons demandées à la suite des attaques d’AvosLocker sont relativement faibles puisqu’elles se situent entre 50 000 et 75 000 dollars. Mais contrairement à de nombreux autres ransomwares qui exigent un paiement en bitcoins, AvosLocker le demande en Monero – une crypto-monnaie conçue pour être anonyme. Monero n’a pas une valeur aussi élevée que le bitcoin, mais l’anonymat supplémentaire signifie qu’il est plus difficile de retrouver les cybercriminels qui l’utilisent.

Un autre nouvel acteur sur le marché des ransomwares est Hive, qui a été vu pour la première fois infectant des organisations en juin 2021. Ses auteurs exploitent également des données volées et pratiquent la double extorsion pour contraindre les victimes à payer la rançon.  Au total, Hive a fait jusqu’à présent 28 victimes – dont des prestataires de soins de santé – dans des attaques susceptibles de perturber les soins aux patients. Ce genre d’attitude cavalière à l’égard du bien-être du grand public pourrait faire de Hive une dangereuse menace de ransomware.

La quatrième menace émergente décrite par les chercheurs est une variante d’une forme établie de ransomware. Hello Kitty ransomware est apparu pour la première fois en décembre 2020 et visait principalement les systèmes Windows. Maintenant, les chercheurs ont identifié une nouvelle version d’Hello Kitty qui cible pour la première fois les systèmes Linux. “Les ransomwares ne s’en prennent pas seulement aux systèmes Windows – maintenant, avec la variante d’Hello Kitty qui cible ESxi, ils essaient d’obtenir un tout autre marché qui n’était pas exploré auparavant”, explique Doel Santos, analyste du renseignement sur les menaces à l’unité 42 de Palo Alto Networks, interrogé par ZDNet.

Des entreprises basées dans le monde entier ont été visées par cette variante d’Hello Kitty, qui modifie les demandes de rançon en fonction de la cible. Les criminels ont demandé jusqu’à 10 millions de dollars en Monero à une victime – bien que les opérateurs soient également disposés à accepter un paiement en Bitcoin.

De nouveaux acteurs sur le terrain

L’essor de ces groupes de ransomware montre que, même si les groupes établis semblent disparaître, de nouveaux acteurs prennent leur place. Nombre d’entre eux adoptent les tactiques et les techniques des groupes de ransomware qui les ont précédés afin de rendre leurs attaques aussi efficaces que possible. “De nombreux groupes plus répandus ont ouvert la voie à l’émergence de ces petits groupes, en leur donnant un modèle économique à suivre pour mener leurs opérations. C’est une autre raison pour laquelle nous voyons ces groupes de ransomware émergents utiliser des approches de double extorsion, ce qui est devenu la norme depuis le ransomware Maze”, explique encore Doel Santos.

Quel que soit le type de ransomware utilisé par les cybercriminels, il représente une menace majeure pour les entreprises. Pour éviter que les réseaux ne soient victimes d’attaques par ransomware, il est recommandé d’appliquer les correctifs de sécurité en temps utile pour empêcher les criminels d’exploiter les vulnérabilités connues. L’authentification multifactorielle doit également être appliquée à tous les utilisateurs afin de fournir une barrière supplémentaire aux attaques exploitant des noms d’utilisateur et des mots de passe volés ou divulgués comme point d’entrée.

Il est également recommandé aux entreprises de mettre à jour et de tester régulièrement leurs sauvegardes – et de les stocker hors ligne – afin que, si le réseau est victime d’une attaque par ransomware, il soit possible de le restaurer sans avoir à payer la rançon.

Les ransomwares restent l’une des principales menaces de cybersécurité pour les entreprises du monde entier, car les cybercriminels tentent de compromettre les réseaux et de les crypter pour exiger le paiement de rançons, qui peuvent se chiffrer en millions. L’attrait de l’argent facile attire les cybercriminels de tous niveaux vers les ransomwares, qu’il s’agisse de bandes spécialisées dans les ransomwares qui gardent les logiciels malveillants pour elles-mêmes ou de groupes de ransomwares en tant que service qui louent leur produit illicite à des pirates malveillants de bas niveau qui veulent participer à l’action.

Source : ZDNet.com

Leave a Reply

%d bloggers like this: