Les gangs de rançongiciels donnent désormais aux victimes le temps de sauver leur réputation

Les analystes des menaces ont observé une tendance inhabituelle dans les tactiques des groupes de rançongiciels, signalant que les phases initiales de l’extorsion des victimes sont de moins en moins ouvertes au public car les acteurs ont tendance à utiliser des entrées cachées ou anonymes.

En ne divulguant pas immédiatement le nom de la victime, les agents du rançongiciel donnent à leurs cibles une possibilité plus étendue de négocier le paiement de la rançon en secret tout en maintenant un niveau de pression sous la forme d’une future fuite de données.

KELA, spécialiste israélien du cyber-renseignement, a publié son rapport Q1 2022 sur les rançongiciels qui illustre cette tendance et met en lumière divers changements dans le domaine.

Principaux acteurs et cibles

Au premier trimestre 2022, le nombre total de victimes de ransomwares a chuté de 40 %, passant de 982 au quatrième trimestre 2021 à 698.

Cela était en partie dû au déclin progressif et à l’exode éventuel de Conti, ainsi qu’au fait que les nouveaux groupes ne produisaient pas les mêmes volumes d’attaques que ceux qui étaient partis au trimestre précédent.

La couronne pour cette période revient à LockBit, la menace de ransomware la plus prolifique et la plus importante, révélant 226 victimes, presque le même nombre qu’au trimestre précédent.

Parmi les nouveaux acteurs menaçants, Alphv représentait 8 % et Karakurt 5 % des victimes publiées, ce qui est important mais proche des 32 % de LockBit ou même des 18 % de Conti.

Le secteur financier a enregistré une augmentation de 40 % du nombre de victimes d’un trimestre à l’autre, tandis que les services professionnels, la santé, la fabrication et la technologie sont restés stables dans les cinq secteurs les plus ciblés.

Enfin, les États-Unis arrivent en tête de liste des pays les plus ciblés avec 40 %, suivis du Royaume-Uni, de l’Italie, de l’Allemagne et du Canada. La France, qui figurait auparavant dans le top cinq, n’a pas été aussi ciblée ces derniers mois.

Accès initial

Les courtiers d’accès initiaux restent un maillon crucial dans la chaîne d’attaque des ransomwares, et KELA a repéré 116 vendeurs de ce type au premier trimestre 2022, soit une augmentation de 15 % par rapport au trimestre précédent.

Certains courtiers d’accès comme “Novelli” sont actifs dans les forums sur la cybercriminalité depuis 2019, vendant principalement des accès RDP, tandis que d’autres comme “Chiftlocal” sont apparus sur le terrain pour la première fois en mars 2022.

Un autre vendeur important vu par les analystes des menaces de KELA est “Pumpedkicks”, également connu sous le nom de “Mont4ana”, qui propose des failles SQL et des identifiants de connexion aux réseaux d’entreprise. Récemment, cet acteur a également ajouté un accès VPN aux entreprises américaines et aux entités gouvernementales.

Est-ce que plusieurs gangs attaquent la même victime ?

KELA a également constaté une tendance selon laquelle certains groupes, tels que Conti, Hive, AlphV et AvosLocker publient des données pour les mêmes victimes.

Bien que ces différentes opérations de ransomwares prétendent avoir mené l’attaque, BleepingComputer pense que ces attaques proviennent du même affilié qui travaille avec plusieurs gangs de ransomwares.

En outre, un rapport récent explique comment le gang de rançongiciels Conti a fermé ses portes, ses membres passant à différentes opérations Ransomware-as-a-Service.

Il est possible que les mêmes acteurs de la menace se soient maintenant déplacés vers des opérations différentes et continuent d’exploiter les victimes d’attaques précédentes.

Masquer les noms des victimes

La tendance quelque peu étrange qui s’est déroulée au premier trimestre 2022 est que les gangs de rançongiciels cachent les noms de leurs victimes et ne les décrivent que par leur secteur d’activité, leur taille et les données volées.

KELA a observé cette tactique par Midas, Lorenz et Everest, qui ont menacé la victime d’ajouter leur nom de marque au site d’extorsion Tor s’ils ne payaient pas la rançon.

Cette tactique est également utilisée par d’autres gangs de rançongiciels, qui préparent des pages Web cachées sur leurs sites de fuites de données et ne donnent l’URL qu’à la victime. Il s’agissait de montrer la preuve des données volées sans nuire à leur position de négociation.

Lorsqu’un groupe de rançongiciels publie immédiatement le nom de sa victime, il détruit souvent toute chance de parvenir à un résultat de négociation réussi et de recevoir de l’argent. En exposant l’incident aux autorités, ils rendent impossible la réception informelle de sommes importantes.

Par la pratique, certains adversaires ont peut-être trouvé qu’il est préférable de suivre une approche plus prudente et protégée, du moins dans la première étape de l’extorsion.

Combien de sites Web sont piratés par jour ?

Dans le monde, 30 000 sites Web sont piratés quotidiennement.

Combien de cybercrimes se produisent par jour ? L’Université du Maryland a constaté qu’il y a en moyenne 2 244 cyberattaques par jour, soit une toutes les 36 secondes. La Federal Trade Commission des États-Unis, au cours d’une récente période de 6 mois, a vu plus de 128 000 escroqueries par téléphone qui ont coûté aux victimes 108 millions de dollars – c’est seulement six mois !

Combien de comptes sont piratés par jour ?

Cependant, étant donné qu’il y a environ 2 200 cyberattaques par jour, cela pourrait équivaloir à plus de 800 000 personnes piratées par an.

Combien de sites web piratés Daily 2021 ?

En moyenne, 30 000 nouveaux sites Web sont piratés chaque jour.

Les ransomwares peuvent-ils infecter le wifi ?

Oui, les rançongiciels peuvent se déplacer via les réseaux wifi pour infecter les ordinateurs. Les attaques de rançongiciels qui passent par le Wi-Fi peuvent perturber des réseaux entiers, entraînant de graves conséquences commerciales. Un code malveillant qui se traduit par un rançongiciel peut également se propager sur différents réseaux Wi-Fi, fonctionnant comme le fait un ver informatique.

Comment votre réseau peut-il être infecté par un ransomware ? Les ransomwares se propagent généralement via des e-mails de phishing contenant des liens vers des pages Web ou des pièces jointes malveillantes. L’infection peut également se produire par le biais d’un téléchargement « intempestif », qui se produit lorsqu’un utilisateur visite un site Web infecté et que des logiciels malveillants sont téléchargés et installés à l’insu de l’utilisateur.

Un ordinateur infecté peut-il infecter un routeur ?

Votre routeur se situe entre vos appareils et Internet, ce qui en fait une cible attrayante pour les pirates. Cependant, nous n’y prêtons généralement pas trop d’attention, sauf si quelque chose ne va pas. Les routeurs peuvent être attaqués et infectés par des logiciels malveillants, mettant tout votre réseau en danger.

Un rançongiciel peut-il infecter un routeur ?

Oui, un routeur Wi-Fi peut attraper un virus. Les routeurs Wi-Fi sont un pont entre votre ordinateur ou votre téléphone et Internet, et ce sont des cibles lucratives pour les cybercriminels. Les logiciels malveillants sur un routeur peuvent se propager à n’importe quel appareil connecté au routeur.

Quelqu’un paie-t-il un rançongiciel ?

Les organismes chargés de l’application de la loi recommandent de ne pas payer, car cela encourage la poursuite des activités criminelles. Dans certains cas, le paiement de la rançon peut même être illégal, car il permet de financer des activités criminelles.

Quel est le paiement moyen d’un ransomware ? Les rançongiciels ont touché 66 % des entreprises de taille moyenne l’année dernière, contre 37 % en 2020. Les paiements de rançon moyens ont atteint 812 000 $ en 2021, contre 170 000 $ l’année précédente.

Combien de victimes paient le ransomware ?

Le nombre de groupes de ransomwares dans l’ensemble a également augmenté en 2021 – au moins 140 souches de ransomwares ont reçu des paiements de la part des victimes au cours de l’année, contre 119 en 2020 et 79 en 2019, selon le rapport.

Comment les attaquants de ransomware sont-ils payés ?

Les attaquants de ransomware exigent généralement que le paiement soit effectué via Western Union ou via un message texte spécialisé. Certains attaquants exigent un paiement sous forme de cartes-cadeaux comme une carte-cadeau Amazon ou iTunes.

Devriez-vous jamais payer un rançongiciel ?

En général, le FBI conseille aux organisations de s’abstenir de payer des rançons car cela encourage simplement les acteurs malveillants en leur disant que l’extorsion fonctionne. Ces attaquants peuvent alors justifier d’étendre leurs opérations et de continuer à cibler des organisations, ce qui rend tout le monde moins sûr.