Sécurité : Quatre groupes spécialisés dans la cyberextorsion gagnent en puissance ces derniers mois, alors que la menace des ransomwares continue de peser sur les entreprises.
Des chercheurs en cybersécurité viennent de lancer une nouvelle alerte contre quatre familles émergentes de ransomware qui pourraient bien constituer la prochaine menace pour la cybersécurité des entreprises. Si certains opérateurs importants de ransomware ont apparemment disparu ces derniers temps, l’adage selon lequel « la nature a horreur du vide » pourrait en effet se vérifier une nouvelle fois. Les équipes de la société de cybersécurité Palo Alto Networks viennent ainsi de présenter quatre nouvelles familles de ransomware découvertes au cours de leurs enquêtes et qui, si les circonstances s’y prêtent, pourraient devenir les prochaines grandes menaces des ransomwares.
L’une d’entre elles est LockBit 2.0, une opération de ransomware-as-a-service qui existe depuis septembre 2019 mais a pris une nouvelle envergure au cours de l’été. Le groupe à l’origine de ce ransomware a remanié ses opérations sur le dark web en juin – lorsqu’ils ont lancé la version 2.0 de LockBit – et une publicité agressive a attiré l’attention des cybercriminels. Selon les chercheurs de Palo Alto Networks, LockBit a compromis 52 organisations dans le monde depuis juin. Le cas le plus notable est sans doute celui d’Accenture, qui a pu restaurer ses données à partir de ses sauvegardes sans avoir à payer de rançon.
LockBit n’est pas la seule forme de ransomware en plein essor. Le ransomware AvosLocker est apparu en juillet et propose un système de ransomware-a-a-service dans lequel les opérateurs se chargent de négocier les rançons. Le groupe à l’origine de ce nouveau ransomware a compromis plusieurs organisations dans le monde, notamment des cabinets d’avocats, aux Etats-Unis et au Royaume-Uni. Comme d’autres groupes de ransomware, AvosLocker divulgue les données volées si la rançon n’est pas payée.
Des rançons plus faibles qu’auparavant ?
Les rançons demandées à la suite des attaques d’AvosLocker sont relativement faibles puisqu’elles se situent entre 50 000 et 75 000 dollars. Mais, contrairement à de nombreux autres ransomwares qui exigent un paiement en bitcoins, AvosLocker le demande en Monero – une cryptomonnaie conçue pour être anonyme. Monero n’a pas une valeur aussi élevée que le bitcoin, mais l’anonymat supplémentaire signifie qu’il est plus difficile de retrouver les cybercriminels qui l’utilisent.
Un autre nouvel acteur sur le marché des ransomwares est Hive, qui a été vu pour la première fois infectant des organisations en juin 2021. Ses auteurs exploitent également des données volées et pratiquent la double extorsion pour contraindre les victimes à payer la rançon. Au total, Hive a fait jusqu’à présent 28 victimes – dont des prestataires de soins de santé – dans des attaques susceptibles de perturber les soins aux patients. Ce genre d’attitude cavalière à l’égard du bien-être du grand public pourrait faire de Hive une dangereuse menace de ransomware.
La quatrième menace émergente décrite par les chercheurs est une variante d’une forme établie de ransomware. Hello Kitty ransomware est apparu pour la première fois en décembre 2020 et visait principalement les systèmes Windows. Maintenant, les chercheurs ont identifié une nouvelle version d’Hello Kitty qui cible pour la première fois les systèmes Linux. « Les ransomwares ne s’en prennent plus seulement aux systèmes Windows – maintenant, avec la variante d’Hello Kitty qui cible ESxi, ils essaient d’obtenir un tout autre marché qui n’était pas exploré auparavant », explique Doel Santos, analyste du renseignement sur les menaces à l’unité 42 de Palo Alto Networks, interrogé par ZDNet.
Des entreprises basées dans le monde entier ont été visées par cette variante d’Hello Kitty, qui modifie les demandes de rançon en fonction de la cible. Les criminels ont demandé jusqu’à 10 millions de dollars en Monero à une victime – bien que les opérateurs soient également disposés à accepter un paiement en Bitcoins.
De nouveaux acteurs sur le terrain
L’essor de ces groupes de ransomware montre que, même si les groupes établis semblent disparaître, de nouveaux acteurs prennent leur place. Nombre d’entre eux adoptent les tactiques et les techniques des groupes de ransomware qui les ont précédés afin de rendre leurs attaques aussi efficaces que possible. « De nombreux groupes plus répandus ont ouvert la voie à l’émergence de ces petits groupes, en leur donnant un modèle économique à suivre pour mener leurs opérations. C’est une autre raison pour laquelle nous voyons ces groupes de ransomware émergents utiliser des approches de double extorsion, ce qui est devenu la norme depuis le ransomware Maze », explique encore Doel Santos.
Quel que soit le type de ransomware utilisé par les cybercriminels, il représente une menace majeure pour les entreprises. Pour éviter que les réseaux ne soient victimes d’attaques par ransomware, il est recommandé d’appliquer les correctifs de sécurité en temps utile pour empêcher les criminels d’exploiter les vulnérabilités connues. L’authentification multifactorielle doit également être appliquée à tous les utilisateurs afin de fournir une barrière supplémentaire aux attaques exploitant des noms d’utilisateur et des mots de passe volés ou divulgués comme point d’entrée.
Il est également recommandé aux entreprises de mettre à jour et de tester régulièrement leurs sauvegardes – et de les stocker hors ligne – afin que, si le réseau est victime d’une attaque par ransomware, il soit possible de le restaurer sans avoir à payer la rançon.
Les ransomwares restent l’une des principales menaces de cybersécurité pour les entreprises du monde entier, car les cybercriminels tentent de compromettre les réseaux et de les chiffrer pour exiger le paiement de rançons, qui peuvent atteindre des millions. L’attrait de l’argent facile attire les cybercriminels de tous niveaux vers les ransomwares, qu’il s’agisse de bandes spécialisées dans les ransomwares qui gardent les logiciels malveillants pour elles-mêmes ou de groupes de ransomwares en tant que service qui louent leur produit illicite à des pirates malveillants de bas niveau qui veulent participer à l’action.
Source : net.fr/actualites/