Des campagnes de masse à la pêche au gros : comment le ransomware JSWorm s’est réinventé en seulement deux ans

Posted On 05 Juin 2021

Alors que les ransomwares ciblés continuent de menacer les entreprises du monde entier, il est tentant de s’intéresser de plus près aux opérations de certains outils pirates comme JSWorm et cybergangs. L’objectif : mieux comprendre leur mode de fonctionnement et élaborer des systèmes de défense plus avancés pour les contrer.

Des chercheurs ont examiné un curieux spécimen (ou plutôt, plusieurs spécimens) issus de la famille JSWorm, qui a démontré de grandes capacités d’adaptation dans l’optimisation de sa panoplie d’outils. Autrefois adepte des opérations à grande échelle, ce gang a su rapidement adapter sa stratégie pour devenir, en l’espace de deux ans, un acteur spécialisé dans les attaques ciblées, pilotant un malware décliné en plus de huit versions différentes.

Chaque variant peut se distinguer du malware originel par certains aspects du code, son extension de fichier, son système cryptographique ou encore sa clé de chiffrage. En plus d’avoir rebaptisé le ransomware de base, ses développeurs ont retravaillé le code et expérimenté différentes approches en matière de diffusion, preuve de leur grande capacité d’adaptation et de l’ampleur des ressources dont ils disposent.

Principales versions du ransomware créé par les développeurs de JSWorm

JSWorm a été détecté dans le monde entier, de l’Amérique (Brésil, Argentine, États-Unis) au Moyen-Orient (Turquie, Iran) en passant par l’Afrique (Afrique du Sud), l’Europe (Italie, France, Allemagne) et la zone Asie-Pacifique (Vietnam). Plus d’un tiers (39 %) des entreprises et individus ciblés en 2020 provenaient de cette dernière région.

Concernant les industries prises pour cibles, il apparaît clair que cette famille de rançongiciels s’attaque en priorité aux infrastructures critiques et aux grands secteurs d’activité. Près de la moitié (41 %) des attaques JSWorm étaient dirigées contre des entreprises du secteur industriel. Les secteurs de l’énergie et des services publics essentiels (10 %), de la finance (10 %), des services aux particuliers et aux professionnels (10 %), des transports (7 %) et de la santé (7 %) font également partie de leurs cibles privilégiées.

« Les opérations de JSWorm et sa capacité à adapter et développer de nouveaux malwares aussi rapidement reflètent une tendance importante et préoccupante : les gangs qui opèrent les ransomwares ont énormément de ressources à disposition et sont capables de changer de stratégie et d’améliorer leurs outils très rapidement, plaçant toujours plus d’entreprises dans leur collimateur. Cette capacité d’adaptation est généralement l’apanage des groupes APT, mais les opérateurs de ransomwares ne se limitent pas à des cibles spécifiques. Ils n’hésiteront pas à infecter n’importe quelle entreprise s’ils en ont la possibilité. Cela prouve que pour bien protéger une organisation, les équipes de cybersécurité doivent se montrer encore plus rapides, réactives et flexibles dans la mise en place de mesures de protection » commente Fedor Sinitsyn, chercheur en cybersécurité chez Kaspersky.

Pour se protéger face à JSWorm et d’autres types de ransomwares

● Ne pas laisser des solutions de bureau à distance telles que le RDP en libre accès sur les réseaux publics, sauf nécessité absolue, et utiliser systématiquement des mots de passe robustes.

● S’assurer que les solutions VPN commerciales et autres logiciels côté serveur sont à jour car ils offrent souvent une porte d’entrée aux ransomwares, et toujours maintenir les applications client à jour.

● Concentrer sa stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration de données vers Internet. Surveiller tout particulièrement le trafic sortant pour détecter les connexions des cybercriminels. Sauvegarder ses données régulièrement et s’assurer de pouvoir rapidement y accéder en cas d’urgence. Consulter les toutes dernières données en matière de Threat Intelligence pour rester informé des outils, tactiques et procédures utilisés par les hackers.

● Protéger l’environnement de l’entreprise et former ses collaborateurs.

● Utiliser une solution de protection des terminaux éprouvée qui offre des fonctionnalités telles que la prévention des exploits, la détection des comportements anormaux et un moteur de correction pour neutraliser les tentatives malveillantes, ainsi qu’un mécanisme d’auto-défense qui empêche les cybercriminels de la désinstaller.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.