Des campagnes de masse à la pêche au gros : comment le ransomware JSWorm s’est réinventé en seulement deux ans

0
127

Alors que les ransomwares ciblés continuent de menacer les entreprises du monde entier, il est tentant de s’intéresser de plus près aux opérations de certains gangs. L’objectif : mieux comprendre leur mode de fonctionnement et élaborer des systèmes de défense plus avancés pour les contrer. Les chercheurs Kaspersky ont ainsi examiné un curieux spécimen (ou plutôt, plusieurs spécimens) issus de la famille JSWorm, qui a démontré de grandes capacités d’adaptation dans l’optimisation de sa panoplie d’outils. Autrefois adepte des opérations à grande échelle, ce gang a su rapidement adapter sa stratégie pour devenir, en l’espace de deux ans, un acteur spécialisé dans les attaques ciblées, pilotant un malware décliné en plus de huit versions différentes.

Chaque variant peut se distinguer du malware originel par certains aspects du code, son extension de fichier, son système cryptographique ou encore sa clé de chiffrage. En plus d’avoir rebaptisé le ransomware de base, ses développeurs ont retravaillé le code et expérimenté différentes approches en matière de diffusion, preuve de leur grande capacité d’adaptation et de l’ampleur des ressources dont ils disposent.

Principales versions du ransomware créé par les développeurs de JSWorm

JSWorm a été détecté dans le monde entier, de l’Amérique (Brésil, Argentine, États-Unis) au Moyen-Orient (Turquie, Iran) en passant par l’Afrique (Afrique du Sud), l’Europe (Italie, France, Allemagne) et la zone Asie-Pacifique (Vietnam). Plus d’un tiers (39 %) des entreprises et individus ciblés en 2020 provenaient de cette dernière région.

Concernant les industries prises pour cibles, il apparaît clair que cette famille de ransomwares s’attaque en priorité aux infrastructures critiques et aux grands secteurs d’activité. Près de la moitié (41 %) des attaques JSWorm étaient dirigées contre des entreprises du secteur industriel. Les secteurs de l’énergie et des services publics essentiels (10 %), de la finance (10 %), des services aux particuliers et aux professionnels (10 %), des transports (7 %) et de la santé (7 %) font également partie de leurs cibles privilégiées.

« Les opérations de JSWorm et sa capacité à adapter et développer de nouveaux malwares aussi rapidement reflètent une tendance importante et préoccupante : les gangs qui opèrent les ransomwares ont énormément de ressources à disposition et sont capables de changer de stratégie et d’améliorer leurs outils très rapidement, plaçant toujours plus d’entreprises dans leur collimateur. Cette capacité d’adaptation est généralement l’apanage des groupes APT, mais les opérateurs de ransomwares ne se limitent pas à des cibles spécifiques. Ils n’hésiteront pas à infecter n’importe quelle entreprise s’ils en ont la possibilité. Cela prouve que pour bien protéger une organisation, les équipes de cybersécurité doivent se montrer encore plus rapides, réactives et flexibles dans la mise en place de mesures de protection » commente Fedor Sinitsyn, chercheur en cybersécurité chez Kaspersky.

Pour consulter l’intégralité du rapport sur les différentes versions de JSWorm, rendez-vous sur Securelist. Pour en savoir plus sur l’écosystème des ransomwares, consultez le rapport Ransomware world in 2021: who, how and why .

Pour se protéger face à JSWorm et d’autres types de ransomwares, Kaspersky invite à suivre les recommandations suivantes :

  • Ne pas laisser des solutions de bureau à distance telles que le RDP en libre accès sur les réseaux publics, sauf nécessité absolue, et utiliser systématiquement des mots de passe robustes.
  • S’assurer que les solutions VPN commerciales et autres logiciels côté serveur sont à jour car ils offrent souvent une porte d’entrée aux ransomwares, et toujours maintenir les applications client à jour.
  • Concentrer sa stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration de données vers Internet. Surveiller tout particulièrement le trafic sortant pour détecter les connexions des cybercriminels. Sauvegarder ses données régulièrement et s’assurer de pouvoir rapidement y accéder en cas d’urgence. Consulter les toutes dernières données en matière de Threat Intelligence pour rester informé des outils, tactiques et procédures utilisés par les hackers.
  • Utiliser des solutions pour anticiper et bloquer les attaques avant que les pirates n’atteignent leurs objectifs.
  • Protéger l’environnement de l’entreprise et former ses collaborateurs, notamment grâce à des programmes de cours comme la plateforme en ligne de sensibilisation à la cybersécurité de Kaspersky (Kaspersky Automated Security Awareness).
  • Utiliser une solution de protection des terminaux éprouvée qui offre des fonctionnalités telles que la prévention des exploits, la détection des comportements anormaux et un moteur de correction pour neutraliser les tentatives malveillantes, ainsi qu’un mécanisme d’auto-défense qui empêche les cybercriminels de la désinstaller.