Attaques par ransomware : hausse des menaces indirectes

0

Les chercheurs Proofpoint dévoilent aujourd’hui de nouvelles informations sur la façon dont les cybercriminels propagent leurs menaces par ransomware.

Si les attaques par ransomware sont toujours initiées par l’email, son mode d’exécution est plus complexe qu’il n’y paraît : aujourd’hui, ce type de cyberattaque passe d’une menace directe par email à une menace indirecte où l’email n’est qu’un maillon de la chaîne d’attaque.

Les opérateurs de ransomware s’appuient désormais sur des entreprises cybercriminelles – principalement des distributeurs de chevaux de Troie bancaires – pour le déploiement de logiciels malveillants. Ces facilitateurs d’accès distribuent leurs portes dérobées via des liens et des pièces jointes malveillants envoyés par mail. Considérés comme opportunistes, les groupes de cybercriminels qui distribuent déjà des logiciels malveillants bancaires ou d’autres chevaux de Troie peuvent également faire partie d’un réseau affilié de ransomware. De cette nouvelle façon de procéder résulte un écosystème criminel solide et lucratif au sein duquel différents individus et organisations se spécialisent de plus en plus, leur permettant ainsi de réaliser des profits plus importants, au détriment, bien sûr, des victimes.

Pour garantir le succès de leurs attaques, ils utilisent des logiciels malveillants de premier niveau tels que The Trick, Dridex ou Buer Loader et vendent ensuite leurs accès aux opérateurs de ransomware pour déployer des opérations de vol et de chiffrement des données. Selon Proofpoint, les chevaux de Troie bancaires représentaient près de 20 % des logiciels malveillants observés dans les campagnes identifiées au premier semestre 2021 et constituent le type de logiciel malveillant le plus populaire.

Proofpoint a également observé des preuves de ransomware déployés via SocGholish utilisant de fausses mises à jour et des redirections de sites Web pour infecter les utilisateurs, et via le système de distribution de trafic (TDS) Keitaro et les kits d’exploitation de suivi que les opérateurs utilisent pour échapper à la détection.

Les chercheurs suivent actuellement au moins 10 acteurs de la menace agissant en tant que facilitateurs d’accès ou affiliés probables de ransomware. Selon eux, les ransomware sont rarement distribués directement par e-mail.

S’il n’y a pas de relation individuelle établie entre les chargeurs de logiciels malveillants et les attaques de ransomware, plusieurs acteurs de la menace utilisent les mêmes charges utiles de logiciels malveillants pour la distribution de ransomware.

Si vous souhaitez en savoir plus sur ce type de menace, je vous invite à consulter le dernier blog Proofpoint.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.