Trend Micro: diminuer les risques liés aux ransomwares avec une gestion proactive de la surface d'attaque
Les ransomware sont un type de malware conçu pour chiffrer les données d’une victime et demander un paiement de rançon en échange de la clé de déchiffrement. Ce qui rend les ransomware particulièrement destructeurs, c'est leur capacité à bloquer complètement l'accès aux données, ce qui rend souvent la récupération impossible sans sauvegardes récentes. Même lorsque les rançons sont payées, les victimes peuvent ne jamais recevoir de clé de travail.
Les ransomware sont devenus un modèle de cybercriminalité en tant que service connu sous le nom de RaaS (Ransomware-as-a-Service) qui a élargi leur portée. Cette nouvelle approche permet aux développeurs de ransomware de louer leurs outils de ransomware à des affiliés, ce qui entraîne davantage d'attaques.
Chaque année, de plus en plus de groupes de ransomware ont émergé, chacun avec des tactiques, des cibles et des impacts distincts. Vous trouverez ci-dessous 15 exemples de ransomware qui soulignent la diversité et l’évolution de cette cybermenace persistante
RansomHub est un groupe de ransomware en tant que service (RaaS) détecté pour la première fois en février 2024 et a rapidement gagné en notoriété pour sa stratégie de « chasse au Big Game », en ciblant les grandes entreprises plus susceptibles de payer des rançons importantes. Surveillé par Trend Micro sous le nom de Water Bakunawa, RansomHub exploite les vulnérabilités dans les sauvegardes de stockage cloud et les instances Amazon S3 mal configurées, tirant parti de la confiance entre les fournisseurs et les clients pour améliorer leurs tactiques d'extorsion.
Rhysida est un groupe de ransomware qui a été mis au jour début 2023, employant des tactiques de double extorsion en chiffrant les données des victimes et en menaçant de les publier, sauf si une demande de rançon est payée en bitcoin. Ils se font passer pour une équipe de cybersécurité offrant d'aider leurs victimes en mettant en évidence les faiblesses de sécurité dans leurs réseaux et systèmes. Ils utiliseront des attaques de phishing pour obtenir un accès initial et assurer un suivi avec les balises Cobalt Strike pour les mouvements latéraux dans les machines compromises avant de déployer leur ransomware.
Figure 1: The RansomHub ransomware observed infection chain
Akira est apparu début 2023 et s’est rapidement imposé comme l’une des familles de ransomware les plus connues. Akira utilise des tactiques de double extorsion, un modèle de livraison de ransomware en tant que service (RaaS) et des options de paiement non conventionnelles, une approche qui a contribué à sa réussite opérationnelle. Akira est connu pour exiger des paiements de rançon importants qui peuvent aller de 200 000 USD à plus de 4 millions USD.
L'attaque de ransomware WannaCry en mai 2017 a exploité une vulnérabilité Microsoft Windows qui a infecté plus de 200 000 systèmes dans plus de 150 pays. Les malware ont chiffré les fichiers et demandé des paiements de rançon en Bitcoin pour les clés de déchiffrement. L'une des plus grandes victimes de l'attaque WannaCry a été le National Health Service (NHS) du Royaume-Uni, avec jusqu'à 70 000 dispositifs infectés et environ 19 000 rendez-vous ou procédures médicaux annulés.
Figure 2: Infection diagram
Le ransomware Clop, parfois appelé Cl0p, est actif depuis 2019 et est réputé pour ses tactiques d’extorsion à plusieurs niveaux et ses attaques de haut niveau, extorquant plus de 500 millions USD entre 2019 et 2021. Clop a également exploité des vulnérabilités dans des logiciels largement utilisés, tels que l'appliance de transfert de fichiers d'Accellion, pour maximiser sa portée.
8Baseest un groupe de ransomware qui se présente comme des testeurs de pénétration tout en ciblant principalement les petites entreprises. Ils utilisent une stratégie de double extorsion, en chiffrant les données et en menaçant d’exposer des informations sensibles, à moins que les victimes ne paient une rançon. 8Base adopte une tactique de « nom et honte » et prétend cibler exclusivement les organisations qui ont négligé la confidentialité des données, visant à nuire à la réputation de leurs victimes en exposant des informations confidentielles.
Le groupe de ransomware Trigona a rapidement évolué en publiant plusieurs versions avec différentes fonctionnalités, y compris des arguments de ligne de commande pour le chiffrement personnalisé. Ils ont annoncé agressivement des parts de revenus élevées de 20 % à 50 % pour les affiliés, indiquant une opération lucrative. Cependant, leurs activités ont cessé brutalement en octobre 2023, lorsque leur site de fuite a été arrêté, laissant leur statut opérationnel incertain.
Figure 3: Trigona ransomware’s infection chain
LockBit est un groupe de ransomware important opérant sur un modèle RaaS (Ransomware-as-a-Service). Ils ont lancé plusieurs versions, notamment LockBit 2.0 et 3.0, introduisant des fonctionnalités telles que des tactiques de double extorsion et des méthodes de chiffrement personnalisées. En février 2024, l’Opération Cronos, un effort international coordonné d’application de la loi, a considérablement perturbé les opérations de LockBit en saisissant leur infrastructure et en arrêtant les membres clés. Malgré ces revers, LockBit reste une menace importante dans le paysage des ransomware.
BlackCat, également connu sous le nom d’ALPHV ou d’AlphaVM, est un groupe de ransomware sophistiqué fonctionnant sur un modèle RaaS (Ransomware-as-a-Service) depuis fin 2021. Ils ont ciblé divers secteurs, notamment la finance et les services professionnels, avec un nombre important de victimes aux États-Unis. BlackCat utilise des techniques avancées, telles que la malvertition et l’exploitation de vulnérabilités telles que Log4J, pour obtenir un accès initial. Ils sont également connus pour leur site public de fuite de données, qui exerce une pression sur les victimes pour répondre aux demandes de rançon.
Ryuk est une variante de ransomware liée au groupe de cybercriminalité appelé Wizard Spider. En 2019, Ryuk a demandé des rançons pouvant atteindre 12,5 millions USD et était responsable de certaines des plus grandes demandes de rançon cette année-là, y compris 5,3 millions USD et 9,9 millions USD. Ses victimes couvraient divers secteurs, notamment le gouvernement, les soins de santé et les médias. Le groupe est également associé à d'autres malware, tels que TrickBot et Emotet, pour faciliter les compromissions initiales du système.
Source: Malwarebytes
Black Basta est un groupe de ransomware opérant en tant que ransomware-as-a-service (RaaS) et a rapidement gagné en notoriété dans le paysage des ransomware en ciblant un large éventail de secteurs et d’infrastructures critiques dans le monde entier. On a observé que le groupe exploitait des vulnérabilités telles que QakBot, Brute Ratel et Cobalt Strike pour infiltrer des réseaux et exfiltrer des données sensibles.
Royal, un groupe de ransomware actif depuis début 2022, a rapidement gagné en notoriété pour ses tactiques agressives et ses demandes de rançon élevées, allant de 250 000 USD à plus de 2 millions USD. Royal emploie des méthodes de double extorsion, en chiffrant et en exfiltrant les données, et a étendu ses opérations pour cibler les systèmes basés sur Linux, y compris les serveurs ESXi. Leurs victimes couvrent différents secteurs, avec une concentration importante en Amérique du Nord.
Figure 5: Royal ransomware’s attack flow
Water Ouroboros, émergeant en octobre 2023, opère en tant que groupe RaaS (Ransomware-as-a-Service), qui aurait évolué à partir du ransomware Hive suite à sa perturbation par le FBI en janvier 2023. Ils se concentrent davantage sur le vol de données que sur le chiffrement, l’exploitation des vulnérabilités, le dumping des informations d’identification et l’utilisation de malwares avancés écrits dans des langages tels que Rust. Ses principaux objectifs sont les États-Unis, le Canada, le Royaume-Uni, la France, l’Allemagne et l’Italie.
Hive est un groupe de ransomware en tant que service (RaaS) qui a émergé en 2021, ciblant divers secteurs dans le monde, notamment la santé, la finance et la fabrication. Ils utilisent des tactiques de double extorsion, en chiffrant les données et en menaçant de divulguer des informations sensibles, sauf si une rançon est payée. En janvier 2023, le FBI a perturbé les opérations de Hive, mais le groupe continue de fonctionner sous différents alias.
L'année dernière, 83 % des organisations ont fait face à plusieurs violations qui ont coûté 4,4 millions USD chacune. La réduction de l’exposition aux risques a permis d’économiser en moyenne 1,3 million USD.
Cyber Risk Exposure Management, qui fait partie de notre plateforme de cybersécurité d'entreprise Trend Vision One™, réduit fortement les cyber-risques grâce à une détection continue, à des évaluations en temps réel et à une maîtrise automatisée des risques dans les environnements cloud, hybrides ou sur site.
Related Research
Related Article