Les opérations liées aux ransomwares ont parcouru un long chemin – après des débuts quelque peu clandestins et amateurs on observe aujourd’hui de véritables organisations disposant de marques de fabrique et styles distincts qui rivalisent sur le dark web. De manière générale, elles continuent à se développer et à prospérer malgré le démantèlement de quelques-uns des principaux groupes d’attaquants. Les groupes liés au ransomware parviennent à trouver des manières inhabituelles d’attaquer leurs victimes ou ont recours au détournement d’information pour rendre leurs attaques plus pertinentes.
Les experts de Kaspersky gardent toujours un œil sur les activités de ces gangs et, dans le cadre de la journée Anti-Ransomware (le 12 mai), ils ont sorti un rapport qui récapitule les principales tendances identifiées en 2022, en matière de ransomware.
La première tendance notable est l’utilisation prolifique par les groupes de ransomware de capacités cross-plateformes. Ces derniers temps, ils ont pour objectif d’endommager autant de systèmes que possible avec le même malware en écrivant du code qui peut être exécuté sur plusieurs systèmes d’exploitations à la fois. Conti, l’un des groupes ransomware les plus actifs, a développé un variant, distribué par le biais d’affiliés sélectionnés, et qui cible Linux. A la fin de l’année 2021, Rust et Golang, des langages de programmation cross-plateformes, se sont répandus. BlackCat, auto-proclamé « gang de malware nouvelle génération » qui aurait attaqué plus de 60 organisations depuis Décembre 2021, a écrit ses malwares en langage Rust. Golang a été utilisé dans les ransomware de DeadBolt, un groupe tristement connu pour ses attaques sur QNAP.
De plus, à la fin de l’année 2021 et au début de l’année 2022, les groupes d’attaquants ont poursuivi les activités destinées à faciliter leurs processus commerciaux, y compris en changeant de marque régulièrement pour détourner l’attention des autorités, et en mettant à jour leurs outils d’exfiltration. Certains groupes ont développé, et implémenté des boites à outils complètes qui ressemblent à celles d’entreprises de logiciels inoffensifs. Lockbit est un exemple remarquable de l’évolution d’un gang de ransomware. L’organisation s’enorgueillit d’une série d’améliorations par rapport à ses rivaux, notamment des mises à jour et des réparations régulières de son infrastructure. Elle a également présenté pour la première fois StealBIT, un outil ransomware d’exfiltration personnalisé qui permet d’exfiltrer des données à la vitesse la plus élevée jamais atteinte, signe du travail acharné du groupe en matière de processus d’accélération des logiciels malveillants.
La troisième tendance observée par les experts de Kaspersky résulte de la situation géopolitique, faisant référence au conflit en Ukraine, qui a fortement impacté le paysage des ransomwares. Même si de telles attaques sont généralement plutôt associées aux acteurs de menaces persistantes avancées (APT), Kaspersky a remarqué des activités majeures sur les forums de cybercrime, et des actions menées par les acteurs de ransomware, en réponse à la situation. Peu après le début du conflit, les groupes de ransomware ont pris parti, ce qui a débouché sur des attaques motivées politiquement par quelques gangs ransomware, en soutien à la Russie, ou à l’Ukraine. L’un des malwares fraichement découverts pendant le conflit est le Freeud, développé par des soutiens ukrainiens. Freeud contient des fonctionnalités de wiper. Si le malware contient une liste de fichiers, plutôt que de les chiffrer, le malware les efface du système.
« Si l’année dernière, nous expliquions que le ransomware était en plein essor, cette année, ils sont en pleine floraison. Même si certains groupes de ransomwares actifs ces dernières années ont été forcés d’abandonner, de nouveaux acteurs sont arrivés avec des techniques encore jamais vues » explique Dmitry Galov, chercheur en sécurité au GReAT de Kaspersky. « Néanmoins, puisque les menaces liées aux ransomwares évoluent et s’étendent à la fois techniquement et géographiquement, elles deviennent aussi plus prévisibles, ce qui nous permet de mieux les détecter et nous défendre face à elles. »
Tout savoir sur les nouvelles tendances liées au ransomware sur le rapport Securelist.
SAVE THE DATE
Le 16 mai, à 16h CET, Dmitry Galov, chercheur en sécurité chez Kaspersky présentera les dernières tendances observées sur le marché du ransomware, en se focalisant sur les techniques et les cibles des nouveaux groupes d’attaquants. Vous pouvez vous inscrire pour ce webinaire sur ce lien : https://kas.pr/mx4e