74 millions de tentatives de ransomwares en 2022
La grande valse des groupes de ransomwares : les conséquences du démantèlement des principaux groupes malveillants sur les tendances en matière de ransomware en 2023.
Cela fait maintenant plusieurs années que les ransomwares font les gros titres. Dans leur quête de profit, les attaquants ont ciblé tout type d’organisations, allant des établissements de santé et d’éducation aux fournisseurs de services et au secteur industriel, pouvant affecter presque tous les aspects de la vie quotidienne. Cette année encore, ces groupes sont parvenus à mettre au point de nouvelles techniques avancées, voire à recycler des techniques jusqu’alors attribuées à d’anciens acteurs qui ont aujourd’hui cessé leurs activités. À l’approche de la Journée contre les ransomwares (Sic!) ce 12 mai, faisons un petit point.
En 2022, certains éditeurs d’antivirus ont « bloqué » plus de 74 millions de tentatives d’attaques par ransomware, soit une augmentation de 20 % par rapport à 2021 (61,7 millions). Parallèlement, au début de l’année 2023, une légère baisse du nombre d’attaques par ransomware, qui sont cependant devenues plus sophistiquées et plus ciblées que les vagues précédentes. Comme ZATAZ a pu vous le révéler, Mars et Avril 2023 ont été des périodes très prolifiques pour les rançonneurs.
En outre, les cinq groupes de ransomwares les plus « influents » (Lockbit, Vice Society, BlackCat, Clop et Royal) ont radicalement changé en quelques mois. A noter que le groupe Royal ne répond plus, dans le dark web et par leurs canaux comm’ depuis quelques jours. Selon le Service Veille ZATAZ, seules deux adresses « contact » sont encore actives.
Au cours de l’année 2022 et au début de l’année 2023, plusieurs modifications dans les activités et le fonctionnement de ransomwares multi-plateformes ont attiré l’attention des chercheurs, comme cela a été le cas avec Luna et Black Basta. De plus, les groupes de ransomwares se sont industrialisés, avec des groupes comme BlackCat ayant ajusté leurs techniques au cours de l’année.
Toutes et tous cibles possibles !
A l’heure actuelle, les employés des organisations touchées doivent vérifier si les données relatives à leur organisation figurent bien dans la masse de data volées, ce qui accroît la pression exercée sur leur organisme pour payer la rançon. La situation géopolitique a amené certains groupes de ransomwares à prendre parti dans les conflits, comme c’est le cas avec le stealer Eternity: en effet, le groupe qui en est à l’origine a créé tout un écosystème qui lui est propre, diffusant une nouvelle variante de ransomware.
Trois grandes tendances ont été identifiées, faisant évoluer le paysage des menaces liées aux ransomwares. La première fait référence à des fonctionnalités plus intégrées utilisées par divers groupes de ransomwares, telles que la fonctionnalité d’autodiffusion ou une imitation de celle-ci. Black Basta, LockBit et Play sont parmi les exemples les plus significatifs de ransomwares qui se propagent par eux-mêmes.
Une autre tendance récemment identifiée par l’éditeur de solution de cybersécurité Kaspersky provient d’une vieille astuce, qui consiste à utiliser des pilotes de manière abusive à des fins malveillantes. Certaines vulnérabilités des pilotes AV ont été exploitées par AvosLocker et les familles de ransomware Cuba, mais les observations des experts de Kaspersky montrent que même l’industrie du jeu peut être victime de ce type d’attaque. Par exemple, le pilote anti-cheat de Genshin Impact aurait été utilisé pour tuer la protection du terminal sur la machine ciblée. Cette tendance se confirme avec l’identification de victimes de premier plan, à l’instar d’institutions gouvernementales dans les pays européens.
Certains grands groupes de ransomwares (Cl0p, Play, etc.) adoptent des capacités provenant de codes divulgués ou de codes vendus par d’autres cybercriminels, ce qui peut améliorer les capacités de leurs logiciels malveillants. Récemment, le groupe LockBbit a intégré au moins 25 % du code de Conti ayant fait l’objet d’une fuite, et a publié une nouvelle version de ses malwares entièrement basée sur ce code. Ce type d’initiatives donnent aux groupes affiliés des similarités, ce qui facilite dans le même temps la coopération entre groupes de ransomwares. Cette possibilité de coopération peut leur permettre de renforcer leurs capacités offensives, ce que les entreprises doivent garder à l’esprit dans leur stratégie de défense.