15 exemples d'attaques récentes de ransomware
Trend Micro: diminuer les risques liés aux ransomwares avec une gestion proactive de la surface d'attaque
15 Exemples de ransomware
Les ransomware sont des malware qui chiffrent les fichiers importants sur le stockage local et réseau et exigent une rançon pour déchiffrer les fichiers. Les pirates développent ce malware pour gagner de l'argent par extorsion numérique.
Le ransomware est chiffré, de sorte qu’il est impossible de trouver la clé. Le seul moyen de récupérer les informations consiste à accéder à une sauvegarde.
Le fonctionnement du ransomware cause particulièrement de dégâts. Les autres types de malwares détruisent ou volent les données, mais permettent de recourir à d'autres options de récupération. Avec le ransomware, en l'absence de sauvegardes, vous devez payer la rançon pour récupérer les données. Il arrive même qu’une entreprise paie la rançon et que l’attaquant n’envoie pas la clé de déchiffrement.
RansomHub
RansomHub est un jeune groupe de ransomware en tant que service (RaaS) détecté pour la première fois en février 2024 et suivi par Trend Micro sous le nom de Water Bakunawa. Elle a rapidement gagné en notoriété pour sa tactique de « chasse au grand jeu ». Ils s'attaquent aux victimes qui sont plus susceptibles de payer de grandes rançons pour atténuer les temps d'arrêt sur les opérations commerciales causés par une attaque de ransomware. Ils ciblent les sauvegardes de stockage cloud et les instances Amazon S3 mal configurées pour menacer les fournisseurs de sauvegarde avec des fuites de données, en tirant parti de la confiance entre les fournisseurs et leurs clients.
Rhysida
Motivés par le gain financier, les opérateurs de Rhysida ont été connus pour utiliser les attaques de phishing comme moyen d’obtenir un accès initial, après quoi Cobalt Strike est utilisé pour le mouvement latéral dans les machines infectées. En juillet 2023, notre télémétrie a découvert que le ransomware Rhysida utilisait PsExec pour livrer un script, détecté comme SILENTKILL, afin de mettre fin aux programmes antivirus.
Figure 1: The RansomHub ransomware observed infection chain
Akira
Le ransomware Akira est apparu en mars 2023 et a été connu pour cibler des entreprises basées aux États-Unis et au Canada.
Son site de fuite Tor a un aspect rétro unique qui, selon un rapport de Sophos, rappelle les « consoles à écran vert des années 1980 » qui peuvent être naviguées en tapant des commandes spécifiques.
WannaCry
WannaCry a été détecté pour la première fois en avril, où il a été découvert en utilisant le service d’hébergement de fichiers Dropbox dans le cadre de sa méthode de propagation.
Les épidémies de « WannaCry » se classent comme les incidents de cybersécurité mondiaux les plus préjudiciables au cours du premier semestre 2017. Ces attaques massives de ransomware ont affecté les réseaux d’hôpitaux, d’usines et de chemins de fer dans de nombreux pays, avec de graves conséquences.
WannaCry aurait paralysé plus de 200 000 ordinateurs, y compris ceux qui géraient le réseau ferroviaire national allemand et le réseau hospitalier du Royaume-Uni.
Le flux d’infection du ransomware est indiqué dans ce diagramme :
Figure 2: Infection diagram
Clop
Clop (parfois stylisé sous le nom de « Cl0p ») était l’une des familles de ransomware les plus prolifiques entre 2020 et 2023. Elle s’est forgé une réputation pour avoir compromis des organisations de premier plan dans divers secteurs à travers le monde, en utilisant des techniques d’extorsion à plusieurs niveaux, ce qui a entraîné d’énormes versements estimés à 500 millions USD en novembre 2021.
8Base
Détecté pour la première fois en mars 2022, 8Base est un groupe actif de ransomware qui se positionne comme « testeurs de pénétration simples » pour justifier sa stratégie de double extorsion, qui implique le chiffrement des données et la menace d’exposer des informations sensibles. Le gang adopte une tactique de nom et de honte, en prétendant sur son site de fuite cibler exclusivement les organisations qui « ont négligé la confidentialité et l’importance des données de leurs employés et clients » et en révélant des données confidentielles susceptibles de nuire à la marque et à la réputation de sa victime.
Trigone
Le ransomware Trigona, suivi pour la première fois par Trend Micro sous le nom de Water Ungaw, est apparu en octobre 2022. Cependant, les binaires du ransomware ont été vus pour la première fois dès le mois de juin de la même année. Bien qu'il soit actif, le groupe s'est positionné comme exécutant un schéma lucratif, lançant des attaques mondiales et des revenus publicitaires allant jusqu'à 20 % à 50 % pour chaque attaque réussie. Le groupe a également été signalé comme communiquant avec des courtiers d'accès réseau qui fournissent des informations d'identification compromises via les discussions internes du forum Russian Anonymous Marketplace (RAMP) et utilisant les informations obtenues pour obtenir un accès initial aux cibles.
Figure 3: Trigona ransomware’s infection chain
LockBit
LockBit est apparu pour la première fois en tant que ransomware ABCD en septembre 2019, qui a été amélioré pour devenir l’une des familles de ransomware les plus prolifiques aujourd’hui.
Grâce à leurs opérations professionnelles et à leur solide programme d'affiliation, les opérateurs de LockBit ont prouvé qu'ils y participaient sur le long terme. Ainsi, la connaissance de leurs tactiques aidera les organisations à renforcer leurs défenses contre les attaques de ransomware actuelles et futures.
Le 19 février 2024, l’Opération Cronos, une action ciblée d’application de la loi, a causé des pannes sur les plateformes affiliées à LockBit, perturbant les opérations du célèbre groupe de ransomware.
BlackCat
Observé pour la première fois à la mi-novembre 2021 par des chercheurs de la MalwareHunterTeam, BlackCat (alias AlphaVM, AlphaV ou ALPHV) a rapidement gagné en notoriété en étant la première grande famille de ransomware professionnels à être écrite dans Rust, un langage multiplateforme qui permet aux acteurs malveillants de personnaliser facilement les malwares pour différents systèmes d’exploitation tels que Windows et Linux, offrant ainsi un large éventail d’environnements d’entreprise.
Rançongiciel Ryuk
Ransomware Ryuk, pronounced ree-yook, est une famille de ransomware apparue pour la première fois entre la mi-2018 et la fin de l’année 2018. En décembre 2018, le New York Times a indiqué que Tribune Publishing avait été infecté par Ryuk, ce qui avait perturbé l’impression à San Diego et en Floride. Le New York Times et le Wall Street Journal partageaient un site d'impression à Los Angeles. Ils ont également été affectés par l’attaque, qui a causé des problèmes de distribution pour les éditions des journaux du samedi.
Variante de l’ancien ransomware Hermes, Ryuk arrive en tête de la liste des attaques de ransomware les plus dangereuses. Dans le rapport mondial sur les menaces CrowdStrike 2020, Ryuk représente trois des 10 plus grandes demandes de rançon de l’année : 5,3 millions USD, 9,9 millions USD et 12,5 millions USD. Ryuk a réussi à attaquer des industries et sociétés du monde entier. Les pirates désignent la pratique de ciblage des grandes sociétés par le nom de « big game hunting » (BGH).
Les pirates laissent des notes aléatoires dans le système, comme RyukReadMe.txt et UNIQUE_ID_DO_NOT_REMOVE.txt, comportant du texte semblable à celui présenté dans la capture d'écran suivante.
Source: Malwarebytes
Basta noire
Black Basta est un groupe de ransomware opérant en tant que ransomware-as-a-service (RaaS) qui a été initialement identifié en avril 2022. Il s’est depuis avéré être une menace formidable, comme en témoigne l’utilisation de tactiques de double extorsion et l’expansion de son arsenal d’attaque pour inclure des outils tels que le cheval de Troie Qakbot et l’exploit PrintNightmare.
Royal
Le ransomware Royal a fait les tours dans des cercles de chercheurs sur les réseaux sociaux en septembre 2022, après qu’un site d’actualités sur la cybersécurité a publié un article rapportant comment les acteurs malveillants derrière le groupe de ransomware ciblaient plusieurs entreprises grâce à l’utilisation de techniques de phishing ciblé par rappel.
Figure 5: Royal ransomware’s attack flow
Petya
Petya est un ransomware ancien et existant qui a émergé pour la première fois en 2016. On sait qu'il écrase le Master Boot Record (MBR) du système, en empêchant les utilisateurs de se connecter à leurs machines avec un écran bleu de mort (BSoD). Dans le cas de Petya, l’écran BSoD est utilisé pour afficher la note de rançon.
Rive
Le 15 août 2021, les attaques de ransomware de Hive contre un système de santé intégré à but non lucratif ont gravement perturbé les opérations cliniques et financières de trois hôpitaux dans l’Ohio et en Virginie-Occidentale. L’attaque a entraîné des détournements aux urgences et l’annulation de cas chirurgicaux urgents et d’examens radiologiques. Le chiffrement des fichiers a forcé le personnel hospitalier à utiliser des graphiques papier. Outre les trois hôpitaux, l’organisme à but non lucratif concerné gère également plusieurs sites et cliniques de services ambulatoires, avec une main-d’œuvre combinée de 3 000 employés.
Trend Micro Ransomware Protection
L'année dernière, 83 % des organisations ont fait face à plusieurs violations qui ont coûté 4,4 millions USD chacune. La réduction de l’exposition aux risques a permis d’économiser en moyenne 1,3 million USD.
Trend Vision One™ – Attack Surface Risk Management (ASRM) réduit fortement les cyber-risques grâce à une détection continue, à des évaluations en temps réels et à une atténuation automatisée dans les environnements cloud, hybrides ou sur site.
Related Research
Related Article