Ne soyez pas la prochaine cible — Trend Micro vous aide à stopper les ransomwares
Les ransomware sont un type de malware conçu pour chiffrer les données d’une victime et demander un paiement de rançon en échange de la clé de déchiffrement. Ce qui rend les ransomware particulièrement destructeurs, c'est leur capacité à bloquer complètement l'accès aux données, ce qui rend souvent la récupération impossible sans des sauvegardes récentes. Même lorsque les rançons sont payées, les victimes sont susceptibles de ne jamais recevoir de clé de déchiffrement.
Les ransomware sont devenus un modèle de cybercriminalité en tant que service connu sous le nom de RaaS (Ransomware-as-a-Service) qui a élargi leur portée. Cette nouvelle approche permet aux développeurs de ransomware de louer leurs outils de ransomware à des affiliés, ce qui génère davantage d'attaques.
Chaque année, de plus en plus de groupes de ransomware ont émergé, chacun avec des tactiques, des cibles et des impacts distincts. Vous trouverez ci-dessous 15 exemples de ransomware qui soulignent la diversité et l’évolution de cette cybermenace persistante
RansomHub est un groupe de ransomware en tant que service (RaaS) détecté pour la première fois en février 2024 et qui a rapidement gagné en notoriété pour sa stratégie de cibler les grandes entreprises, celles étant les plus susceptibles de payer des rançons substantielles. Surveillé par Trend Micro sous le nom de Water Bakunawa, RansomHub exploite les vulnérabilités dans les espaces cloud de stockage et les instances Amazon S3 mal configurées, tirant parti de la confiance entre les fournisseurs cloud et les clients pour améliorer leurs tactiques d’extorsion.
Rhysida est un groupe de ransomware qui a vu le jour début 2023, employant des tactiques de double extorsion, en chiffrant les données des victimes et en menaçant de les publier en l’absence du paiement d’une rançon en bitcoins. Ils se font passer pour une équipe de cybersécurité offrant d'aider leurs victimes en mettant en évidence les vulnérabilités de sécurité dans leurs réseaux et systèmes. Ils utilisent des attaques de phishing pour obtenir un accès initial et assurer un suivi avec les beacons Cobalt Strike pour les mouvements latéraux parmi les machines compromises avant de déployer leur ransomware.
Figure 1 : Le ransomware RansomHub et sa chaîne d’infection
Akira est apparu début 2023 et s’est rapidement imposé comme l’une des familles de ransomware les plus connues. Akira utilise des tactiques de double extorsion, un modèle de livraison de ransomware en tant que service (RaaS) et des options de paiement non conventionnelles, une approche qui a contribué à sa réussite opérationnelle. Akira est connu pour exiger le paiement de rançons importantes qui peuvent aller de 200 000 USD à plus de 4 millions USD.
L'attaque par le ransomware WannaCry en mai 2017 a exploité une vulnérabilité Microsoft Windows qui a infecté plus de 200 000 systèmes dans plus de 150 pays. Les malware ont chiffré les fichiers et demandé des paiements de rançon en Bitcoin pour les clés de déchiffrement. L'une des plus grandes victimes de l'attaque WannaCry a été le National Health Service (NHS) du Royaume-Uni, avec jusqu'à 70 000 dispositifs infectés et environ 19 000 rendez-vous ou procédures médicaux annulés.
Figure 2 : Schéma d'infection
Le ransomware Clop, parfois appelé Cl0p, est actif depuis 2019 et est réputé pour ses tactiques d’extorsion à plusieurs niveaux et ses attaques de haut niveau, extorquant plus de 500 millions USD entre 2019 et 2021. Clop a également exploité des vulnérabilités dans des logiciels largement utilisés, tels que l'appliance de transfert de fichiers d'Accellion, pour maximiser son impact.
8Base est un groupe de ransomware qui se présente comme des outils de test de pénétration tout en ciblant principalement les petites entreprises. Il utilise une stratégie de double extorsion, en chiffrant les données et en menaçant d’exposer des informations sensibles, à moins que les victimes ne paient une rançon. 8Base adopte une tactique « name-and-shame » et déclare ne cibler que les organisations qui ont négligé la confidentialité des données, dans le but de nuire à la réputation de leurs victimes en exposant des informations confidentielles.
Le groupe de ransomware Trigona a rapidement évolué en publiant plusieurs versions aux capacités variables, y compris des arguments de ligne de commande pour un chiffrement personnalisé. Il promettait de reverser une part de 20 à 50 % à ses affiliés pour rendre l’opération plus lucrative. Cependant, leurs activités ont cessé brutalement en octobre 2023, lorsque leur site de fuite a été démantelé, donnant lieu à des interrogations sur leur statut opérationnel.
Figure 3 : Chaîne d'infection du ransomware Trigona
LockBit est un groupe de ransomware majeur opérant sur un modèle RaaS (Ransomware-as-a-Service). Plusieurs versions ont été lancées, notamment LockBit 2.0 et 3.0, introduisant des fonctionnalités telles que des tactiques de double extorsion et des méthodes de chiffrement personnalisées. En février 2024, l’Opération Cronos, un effort international coordonné des forces de l’ordre, a considérablement perturbé les opérations de LockBit en saisissant leur infrastructure et en arrêtant ses principaux membres. Malgré ce revers, LockBit reste une menace importante dans le paysage des ransomware.
BlackCat, également connu sous le nom d’ALPHV ou d’AlphaVM, est un groupe de ransomware sophistiqué opérant sur un modèle RaaS (Ransomware-as-a-Service) depuis fin 2021. Il a ciblé divers secteurs, notamment la finance et les services professionnels, avec un nombre important de victimes aux États-Unis. BlackCat utilise des techniques avancées, comme le malvertising et l’exploitation de vulnérabilités telles que Log4J, pour obtenir un accès initial. Il est également connu pour son site public de fuite de données, qui exerce une pression sur les victimes pour qu’ils paient une rançon.
Ryuk est une variante de ransomware liée au groupe de cybercriminalité appelé Wizard Spider. En 2019, Ryuk a exigé des rançons pouvant atteindre 12,5 millions USD et était responsable de certaines des plus importantes demandes de rançon cette année-là, y compris 5,3 millions USD et 9,9 millions USD. Ses victimes étaient issus de divers secteurs, notamment le gouvernement, les soins de santé et les médias. Le groupe est également associé à d'autres malware, tels que TrickBot et Emotet, pour faciliter les compromissions initiales de système.
Source: Malwarebytes
Black Basta est un groupe de ransomware opérant en tant que ransomware-as-a-service (RaaS) et a rapidement gagné en notoriété dans le paysage des ransomware en ciblant un large éventail de secteurs et d’infrastructures critiques dans le monde entier. On a observé que le groupe exploitait des vulnérabilités telles que QakBot, Brute Ratel et Cobalt Strike pour infiltrer les réseaux et exfiltrer les données sensibles.
Royal, un groupe de ransomware actif depuis début 2022, a rapidement gagné en notoriété pour ses tactiques agressives et ses demandes de rançon élevée, allant de 250 000 USD à plus de 2 millions USD. Royal emploie des méthodes de double extorsion, en chiffrant et en exfiltrant les données, et a étendu ses opérations pour cibler les systèmes basés sur Linux, y compris les serveurs ESXi. Ses victimes sont issues de différents secteurs, avec une concentration importante en Amérique du Nord.
Figure 5 : flux d'attaque du ransomware royal
Water Ouroboros, qui émerge en octobre 2023, opère en tant que groupe RaaS (Ransomware-as-a-Service), qui aurait évolué à partir du ransomware Hive suite à son démantèlement par le FBI en janvier 2023. Ils se concentrent davantage sur le vol de données que sur le chiffrement, l’exploitation des vulnérabilités, le dumping d’informations d’identification et l’utilisation de malwares avancés écrits dans des langages tels que Rust. Ses principaux objectifs sont les États-Unis, le Canada, le Royaume-Uni, la France, l’Allemagne et l’Italie.
Hive est un groupe RaaS (Ransomware-as-a-Service) qui a émergé en 2021, ciblant divers secteurs dans le monde, notamment la santé, la finance et la production industrielle. Ils utilisent des tactiques de double extorsion, en chiffrant les données et en menaçant de divulguer des informations sensibles, sauf si une rançon est payée. En janvier 2023, le FBI s’en est pris aux opérations de Hive, mais le groupe continue d’opérer sous différents alias.
L'année dernière, 83 % des organisations ont fait face à plusieurs violations qui ont coûté 4,4 millions USD chacune. La réduction de l’exposition aux risques a permis d’économiser en moyenne 1,3 million USD.
Cyber Risk Exposure Management, qui fait partie de notre plateforme de cybersécurité d'entreprise Trend Vision One, réduit considérablement les cyber-risques grâce à une identification permanente des risques, à des évaluations en temps réel et à une gestion automatisée de ces risques dans les environnements cloud, hybrides ou sur site.
Related Research
Related Article