La grande valse des groupes de ransomwares : les conséquences du démantèlement des principaux groupes malveillants sur les tendances en matière de ransomware en 2023

0
223

Cela fait maintenant plusieurs années que les ransomwares font les gros titres. Dans leur quête de profit, les attaquants ont ciblé tout type d’organisations, allant des établissements de santé et d’éducation aux fournisseurs de services et au secteur industriel, pouvant affecter presque tous les aspects de la vie quotidienne. Cette année encore, ces groupes sont parvenus à mettre au point de nouvelles techniques avancées, voire à recycler des techniques jusqu’alors attribuées à d’anciens acteurs de premier plan qui ont aujourd’hui cessé leurs activités. À l’approche de la Journée contre les ransomwares, Kaspersky publie un nouveau rapport qui fait le point sur les prédictions 2022 en matière de ransomwares et donne un aperçu de ce à quoi il faut s’attendre en 2023.

Tribune – En 2022, les solutions Kaspersky ont détecté plus de 74,2 millions de tentatives d’attaques par ransomware, soit une augmentation de 20 % par rapport à 2021 (61,7 millions). Parallèlement, au début de l’année 2023, nous avons constaté une légère baisse du nombre d’attaques par ransomware, qui sont cependant devenues plus sophistiquées et plus ciblées que les vagues précédentes. En outre, les cinq groupes de ransomwares les plus influents et les plus prolifiques ont radicalement changé au cours de l’année écoulée. Les défunts REvil et Conti, qui occupaient respectivement la deuxième et la troisième place des groupes les plus actifs au premier semestre 2022, ont été remplacés en ce début 2023 par Vice Society et BlackCat. Les groupes Clop et Royal viennent compléter ce tableau.

En relisant les prédictions ransomwares de l’année dernière à l’aune des événements actuels, on voit que toutes les tendances ont aujourd’hui effectivement persisté. Au cours de l’année 2022 et au début de l’année 2023, plusieurs modifications dans les activités et le fonctionnement de ransomwares multi-plateformes ont attiré l’attention des chercheurs, comme cela a été le cas avec Luna et Black Basta. De plus, les groupes de ransomwares se sont industrialisés, avec des groupes comme BlackCat ayant ajusté leurs techniques au cours de l’année. A l’heure actuelle, les employés des organisations touchées doivent vérifier si les données relatives à leur organisation figurent bien dans la masse de data volées, ce qui accroît la pression exercée sur leur organisme pour payer la rançon. La situation géopolitique a amené certains groupes de ransomwares à prendre parti dans les conflits, comme c’est le cas avec le stealer Eternity: en effet, le groupe qui en est à l’origine a créé tout un écosystème qui lui est propre, diffusant une nouvelle variante de ransomware. 

Pour 2023, les experts de Kaspersky ont identifié trois grandes tendances faisant évoluer le paysage des menaces liées aux ransomwares. La première fait référence à des fonctionnalités plus intégrées utilisées par divers groupes de ransomwares, telles que la fonctionnalité d’autodiffusion ou une imitation de celle-ci. Black Basta, LockBit et Play sont parmi les exemples les plus significatifs de ransomwares qui se propagent par eux-mêmes.

Une autre tendance récemment identifiée provient d’une vieille astuce, qui consiste à utiliser des pilotes de manière abusive à des fins malveillantes. Certaines vulnérabilités des pilotes AV ont été exploitées par AvosLocker et les familles de ransomware Cuba, mais les observations des experts de Kaspersky montrent que même l’industrie du jeu peut être victime de ce type d’attaque. Par exemple, le pilote anti-cheat de Genshin Impact aurait été utilisé pour tuer la protection du terminal sur la machine ciblée. Cette tendance se confirme avec l’identification de victimes de premier plan, à l’instar d’institutions gouvernementales dans les pays européens.

Enfin, les experts de Kaspersky interpellent sur le fait que les plus grands groupes de ransomwares adoptent des capacités provenant de codes divulgués ou de codes vendus par d’autres cybercriminels, ce qui peut améliorer les capacités de leurs logiciels malveillants. Récemment, le groupe LockBbit a intégré au moins 25 % du code de Conti ayant fait l’objet d’une fuite, et a publié une nouvelle version de ses malwares entièrement basée sur ce code. Ce type d’initiatives donnent aux groupes affiliés des similarités, ce qui facilite dans le même temps la coopération entre groupes de ransomwares. Cette possibilité de coopération peut leur permettre de renforcer leurs capacités offensives, ce que les entreprises doivent garder à l’esprit dans leur stratégie de défense.

« Les groupes de ransomware nous surprennent continuellement et ne cessent de développer leurs techniques et leurs procédures. Ce que nous observons depuis un an et demi, c’est qu’ils transforment progressivement leurs services en de véritables entreprises industrialisées. Avec ce changement, même les attaquants amateurs peuvent devenir très dangereux », commente Dmitry Galov, chercheur principal en sécurité au sein du GReAT de Kaspersky. « Il est donc très important de mettre à jour vos services de cybersécurité pour assurer la sécurité de votre entreprise et de vos données personnelles. »

  • Le 11 mai à 16 heures, Sergey Lozhkin, Dmitry Galov, Marc Rivero et Dan Demeter, du GReAT de Kaspersky, discuteront des dernières tendances du marché des ransomwares, en se concentrant sur les nouveaux groupes de ransomwares, leurs techniques et leurs cibles.

Le 12 mai, journée de lutte contre les ransomwares, Kaspersky encourage les organisations à suivre les recommandations suivantes pour se prémunir des ransomwares :

  • Maintenez toujours les logiciels à jour sur tous les appareils que vous utilisez afin d’empêcher les attaquants d’exploiter les vulnérabilités et d’infiltrer votre réseau. 

  • Concentrez votre stratégie de défense sur la détection des mouvements latéraux et l’exfiltration des données vers Internet. Accordez une attention particulière au trafic sortant afin de détecter les connexions des cybercriminels à votre réseau. Mettez en place des sauvegardes hors ligne que les intrus ne peuvent pas altérer. Assurez-vous de pouvoir y accéder rapidement en cas d’urgence. 

  • Adoptez une protection contre les ransomwares pour tous les terminaux. Il existe un outil gratuit, Kaspersky Anti-Ransomware Tool for Business, qui protège les ordinateurs et les serveurs contre les ransomwares et d’autres types de logiciels malveillants, empêche les exploits et est compatible avec les solutions de sécurité déjà installées. 

  • Installez des solutions anti-APT et EDR, permettant des capacités de découverte et de détection avancées des menaces, d’investigation et de remédiation rapide des incidents. Permettez à votre équipe SOC de consulter les dernières informations sur les menaces et formez-la régulièrement à l’aide de formations professionnelles.

  • Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence Portal est un point d’accès unique aux renseignements sur les menaces de Kaspersky, qui fournit des données sur les cyberattaques et des informations recueillies par notre équipe depuis plus de 20 ans. Pour aider les entreprises à mettre en place des mécanismes de défenses efficaces en ces temps troublés, Kaspersky a rendu gratuit l’accès à des informations indépendantes, à des mises à jour continuelle adaptées aux cyberattaques et menaces actives dans le monde entier.