Ransomware Empire Prospers dans …
Singapour, 04/03/2020 – Groupe-IB, une société mondiale de recherche de menaces et de cyber-renseignement centrée sur l’adversaire, a présenté son nouveau rapport «Ransomware découvert 2020-2021“. La recherche plonge profondément dans l’épidémie mondiale de ransomware en 2020 et analyse les TTP des principaux acteurs (tactiques, techniques et procédures). À la fin de 2020, le marché des ransomwares, alimenté par les turbulences pandémiques, était devenu la plus grande artère monétaire de la cybercriminalité. Sur la base de l’analyse de plus de 500 attaques observées lors des propres missions de réponse aux incidents du Groupe-IB et des activités de renseignement sur les cybermenaces, le Groupe-IB estime que le nombre d’attaques de ransomwares a augmenté de plus de 150% en 2020, avec de nombreux joueurs agités ayant rejoint le Big Game Hunting l’année dernière. En 2020, les attaques de ransomwares ont causé en moyenne 18 jours d’arrêt pour les entreprises concernées, alors que le montant moyen de la rançon a presque augmenté double. Les opérations de ransomware se sont transformées en structures commerciales compétitives et robustes, après Maze, Conti et Egregor les gangs ont été à l’avant-garde l’année dernière. Amérique du Nord, Europe, Amérique latine, et le Asie-Pacifique est devenu le plus souvent attaqué régions respectivement.
Pour tenir les professionnels de la cybersécurité au courant du fonctionnement des gangs de ransomwares et aider les équipes de défense à contrecarrer leurs attaques, l’équipe DFIR du Groupe-IB a pour la première fois cartographié les TTP les plus couramment utilisés en 2020 conformément à MITRE ATT & CK®. Si vous êtes un responsable de la cybersécurité, assurez-vous que votre équipe technique reçoit une copie de ce rapport pour obtenir des conseils complets de recherche et de détection des menaces.
La ruée vers l’or de 2020
Le COVID-19 a rendu de nombreuses organisations, distraites par l’atténuation des retombées de la pandémie, vulnérables aux cybermenaces. Le ransomware s’est avéré être celui qui a le plus capitalisé sur la crise. Les attaques n’ont pas seulement augmenté en nombre (plus de 150%) mais aussi en termes d’échelle et de sophistication – la demande moyenne de rançon a augmenté de plus de double et s’élevait à 170 000 $ en 2020. La norme semble se déplacer vers les millions. L’équipe DFIR du groupe IB a découvert que Maze, DoppelPaymer et RagnarLocker étaient les groupes les plus avides, leurs demandes de rançon se situant en moyenne entre 1 million de dollars et 2 millions de dollars.
Sur le plan technique, les serveurs RDP destinés au public étaient la cible la plus courante de nombreux gangs de ransomwares l’année dernière. Dans le contexte de la pandémie qui a poussé de nombreuses personnes à travailler à domicile, le nombre de ces serveurs a augmenté de façon exponentielle. Dans 52% de toutes les attaques, analysées par l’équipe DFIR du Groupe IB, RDP accessible au public les serveurs ont été utilisés pour obtenir un accès initial, suivi du phishing (29%) et de l’exploitation des applications destinées au public (17%).
Big Game Hunting – attaques ciblées de ransomwares contre des entreprises riches – a continué d’être l’une des tendances déterminantes en 2020. Dans l’espoir d’obtenir la plus grosse rançon possible, les adversaires s’en prenaient aux grandes entreprises. Les grandes entreprises ne peuvent pas se permettre des temps d’arrêt, en 18 jours en 2020. Les opérateurs étaient moins préoccupés par l’industrie et plus axés sur l’échelle. Il n’est pas surprenant que la plupart des attaques de ransomwares, analysées par Group-IB, se soient produites Amérique du Nord et Europe, où se trouvent la plupart des entreprises du Fortune 500, suivi de Amérique latine et le Asie-Pacifique respectivement.
Une chance d’argent facile a incité de nombreux gangs à se joindre à la chasse au gros gibier. Les acteurs de la menace parrainés par l’État qui ont été vus en train de mener des attaques à motivation financière n’ont pas tardé à venir. Groupes tels que Lazare et APT27 ont commencé à utiliser des ransomwares pendant leurs opérations.
Conti, Egregor et DarkSide tous ont rejoint la ruée vers l’or des ransomwares en 2020. Beaucoup d’entre eux étaient si prolifiques qu’ils ont atteint le sommet des gangs les plus actifs au cours de leur première année. Les 5 familles de ransomwares les plus actives, selon Group-IB, étaient Maze, Conti, Egregor, DoppelPaymer et REvil. Tous n’ont pas duré longtemps pour diverses raisons.
La menace croissante des ransomwares l’a mis sous les projecteurs des forces de l’ordre. Certains gangs opérant sous le modèle Ransomware-as-a-Service (RaaS), comme Egregor et Netwalker, ont été touchés par les efforts de la police. Maze, un autre collectif notoire de RaaS, a annoncé sa démission à la fin de 2020. Malgré ces événements, le secteur des ransomwares continue de prospérer, le modèle Ransomware-as-a-Service étant le moteur de cette croissance phénoménale.
Crime très organisé
Ransomware-as-a-Service implique que les développeurs vendent / louent des logiciels malveillants aux affiliés du programme pour d’autres compromissions du réseau et le déploiement de ransomwares. Les bénéfices sont partagés entre les opérateurs et les affiliés du programme. Ce modèle commercial où chacun se concentre sur ce qu’il fait le mieux peut générer des millions, car les revenus ne sont limités qu’au nombre d’affiliés que les opérateurs peuvent attirer. L’équipe DFIR Groupe-IB a observé que 64% de toutes les attaques de ransomwares analysées en 2020 provenaient d’opérateurs utilisant le modèle RaaS.
La prévalence des programmes d’affiliation dans la clandestinité était la tendance sous-jacente de 2020. Le système Group-IB Threat Intelligence & Attribution a enregistré l’émergence de 15 nouveaux programmes d’affiliation publics de ransomware l’année dernière.
Mortal Combo: les TTP les plus courants
Avec la montée en puissance des ransomwares en 2020, les acteurs de la cybercriminalité qui utilisent des logiciels malveillants de base tels que Trickbot, Qakbot et Dridex ont aidé de nombreux opérateurs de ransomwares à obtenir de plus en plus souvent un accès initial aux réseaux cibles. L’année dernière, de nombreux opérateurs de botnet se sont associés à des gangs de ransomwares.
Il est important de détecter les logiciels malveillants comme Trickbot dès les premiers stades pour éviter que les données ne soient chiffrées avant que les attaquants ne se déplacent latéralement. La plupart de ces familles de logiciels malveillants de base sont capables d’exécuter leurs activités en silence et peuvent se cacher des solutions de sandboxing traditionnelles sans lever le drapeau. Avancée plates-formes de détonation de logiciels malveillants permettent de détecter de telles menaces en effectuant une analyse du comportement des e-mails, des fichiers et des liens. Il est crucial d’extraire et de faire exploser complètement les charges utiles découvertes dans un environnement isolé sûr, en récoltant des indicateurs de compromis qui aident dans les activités ultérieures de chasse aux menaces.
PowerShell était l’interprète le plus fréquemment utilisé pour lancer la charge utile initiale. Sa popularité parmi les attaquants s’explique par le fait que l’interpréteur fait partie de tous les systèmes Windows, il est donc plus facile de dissimuler une activité malveillante. Un autre thème de 2020, cependant, était l’exploitation active de Linux avec certains acteurs de la menace ajoutant des versions correspondantes à leur arsenal.
Lors de la phase d’accès aux informations d’identification, les acteurs de la menace ont souvent Force brute avec NLBrute et Hydra sont les outils les plus populaires, basés sur les engagements IR de Group-IB. Pour obtenir des privilèges valides, les opérateurs de ransomware en 2020 ont souvent utilisé dumping des informations d’identification – récupérer tous les mots de passe de la machine. Les outils préférés des attaquants ici étaient ProcDump, Mimikatz et LaZagne.
Sur la base des observations de l’équipe DFIR de Group-IB, en 2020, les opérateurs de ransomware ont dépensé 13 jours en moyenne dans le réseau compromis avant chiffrer les données pour avoir un impact. Avant de déployer un ransomware, les opérateurs faisaient de leur mieux pour trouver et supprimer toutes les sauvegardes disponibles, de sorte qu’il serait impossible pour la victime de récupérer les fichiers cryptés. Un autre facteur, qui a permis aux gangs d’assurer un taux de réussite plus élevé, était l’exfiltration de données critiques pour les utiliser comme un levier pour augmenter les chances de paiement de la rançon – la tendance du tristement célèbre collectif Maze.
«La pandémie a propulsé les ransomwares dans le paysage des menaces de chaque organisation et en a fait le visage de la cybercriminalité en 2020», déclare Oleg Skulkin, analyste principal en criminalistique numérique chez Group-IB. «De ce qui était autrefois une pratique rare et une préoccupation des utilisateurs finaux, les ransomwares ont évolué l’année dernière pour devenir une industrie organisée de plusieurs milliards de personnes avec une concurrence interne, des leaders du marché, des alliances stratégiques et divers modèles commerciaux. Cette entreprise réussie ne fera que s’agrandir d’ici. En raison de leur rentabilité, le nombre de programmes RaaS continuera d’augmenter, de plus en plus de cybercriminels se concentreront sur l’accès aux réseaux à des fins de revente. L’efficacité de l’exfiltration des données peut en faire un autre grand créneau, certains acteurs abandonnant du tout l’utilisation des ransomwares. Les demandes croissantes de rançon seront accompagnées de techniques de plus en plus avancées. Étant donné que la plupart des attaques sont opérées par l’homme, il est primordial pour les organisations de comprendre comment les attaquants fonctionnent, quels outils ils utilisent pour pouvoir contrer les attaques des opérateurs de ransomware et les rechercher de manière proactive. C’est la préoccupation de tout le monde maintenant.
L’analyse technique complète des TTP des adversaires mappés et organisés conformément à MITRE ATT & CK® ainsi que les conseils de recherche et de détection des menaces mis en place par l’équipe DFIR (Digital Forensics and Incident Response) de Group-IB, sont disponibles dans le nouveau rapport «Ransomware découvert 2020-2021».
À propos de Group-IB
Group-IB est un fournisseur de solutions basé à Singapour visant à détecter et à prévenir les cyberattaques et la fraude en ligne. La société est également spécialisée dans les cyber-enquêtes de haut niveau et la protection contre les risques numériques. Le système Threat Intelligence & Attribution de Group-IB a été nommé l’un des meilleurs de sa catégorie par Gartner, Forrester et IDC, tandis que son Threat Hunting Framework a été reconnu comme l’un des leaders de la détection et de la réponse de réseau par la principale agence d’analyse européenne KuppingerCole Analysts AG.
Gartner a identifié Group-IB comme un fournisseur représentatif de la détection de fraude en ligne pour sa plate-forme de chasse à la fraude. De plus, Group-IB a été reconnu comme vendeur représentatif en Guide du marché de Gartner pour la criminalistique numérique et les services de réponse aux incidents.
Group-IB a reçu le prix de l’Excellence de l’Innovation pour son Protection contre les risques numériques (DRP), une plate-forme basée sur Al pour identifier et atténuer les risques numériques et contrer les attaques d’usurpation d’identité de marque avec les technologies brevetées de la société au cœur.
Le leadership technologique de Group-IB repose sur les 18 années d’expérience pratique de l’entreprise dans les enquêtes sur la cybercriminalité à travers le monde et sur 65000 heures de réponse aux incidents de cybersécurité accumulées dans l’un des plus grands laboratoires médico-légaux et un centre ouvert 24h / 24 réponse rapide aux cyberincidents – CERT-GIB. Group-IB est partenaire d’INTERPOL et d’Europol et a été recommandé par l’OSCE en tant que fournisseur de solutions de cybersécurité.
Notre mission est de protéger les clients du cyberespace au quotidien avec les produits et services les plus innovants tout en préservant le bonheur des membres de notre équipe.
Pour plus d’information veuillez contacter:
[email protected]
+65 3159-3798
Lecture recommandée:
Plus d’informations