Les 10 ransomwares les plus dangereux du moment
Qui se cache derrière les dernières attaques par ransomware ? Quelle est la façon d'opérer de ces groupes de ransomware et les éléments auxquels vous devez prêter une attention toute particulière. Explications.
Les ransomwares peuvent détruire une entreprise en un rien de temps : blocage de l'accès aux données, chute des profits et réputation entachée sont les principaux risques.
Dans cet article, vous découvrirez qui se cache derrière les dernières attaques par ransomware, la façon d'opérer de ces groupes de ransomware et les éléments auxquels vous devez prêter une attention toute particulière.
Ces informations vous aideront à déterminer comment renforcer votre infrastructure numérique. Vous serez capables de déterminer plus précisément où concentrer vos efforts en matière d'innovation et quelles initiatives adopter dans votre transformation numérique.
Point à date.
1. Clop
Clop est l'un des groupes de ransomware les plus actifs observés par les spécialistes cette année. Il est à l'origine de plus de 100 attaques rien qu'au cours des cinq premiers mois de l'année.
Bien que Clop cible des entreprises de tous horizons (des multinationales pétrolières aux établissements de santé), il semble avoir une affinité particulière pour les entreprises dont le chiffre d'affaires est supérieur à 5 millions $.
À ce jour, on pense que Clop a extorqué aux entreprises plus de 500 millions $ en paiements de rançon.
2. Conti
Conti, un groupe de ransomware très actif, opère en tant que service (RaaS) au sein du monde cybercriminel.
Il permet à des individus peu expérimentés dans le domaine de déployer ses malwares pour leurs propres opérations, moyennant le versement d'une partie de leurs gains à Conti.
Conti a la réputation de n'avoir aucune considération éthique envers ses victimes. Ce groupe a déjà lancé des attaques de ransomware contre d'importantes entreprises du secteur de la santé, demandant des sommes colossales en échange de la restauration de leurs systèmes.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Conti est également connu pour avoir délibérément divulgué des données obtenues lors de leurs demandes de rançon. En 2020, le groupe a inondé Internet avec les données confidentielles de plus de 150 entreprises.
En 2022, le gouvernement américain a proposé une récompense pouvant atteindre 15 millions $ pour toute information pertinente concernant le groupe et 10 millions $ pour des renseignements permettant d'identifier ou de localiser ses dirigeants. Cette démarche souligne l'ampleur des dommages qu'ils ont provoqués.
3. Darkside
À l'instar de Conti, Darkside est un groupe de ransomware-as-a-service (RaaS). Mais contrairement à son rival, Darkside refuserait de cibler tout type d'établissement médical, scolaire ou public. Si cela vous rassure, il faut savoir que le groupe se livre à des activités de ransomware à but lucratif. Souvenez-vous de la menace de Colonial Pipeline...
En mai 2021, Darkside a fait la une des journaux en perpétrant une attaque par ransomware contre Colonial Pipeline Cela a entraîné un état d'urgence sur une vaste portion de la côte est des États-Unis, et a coûté à Colonial Pipeline plus de 4 millions $ en frais de remédiation.
Darkside est connu pour exploiter les vulnérabilités suivantes : mots de passe faibles, connexion directe par RDP au lieu de VPN, pare-feu mal configurés et absence de système MFA.
4. ALPHV (BlackCat)
Ce gang de ransomware est connu pour ses idées créatives et « farfelues ». À titre d'exemple, le groupe a recours au langage de programmation Rust, si bien que détecter les attaques de ransomware est plus compliqué qu'auparavant.
Le groupe est également connu pour ses tactiques de triple extorsion qui font appel à des attaques DDoS. En mars 2022, ALPHV, alias BlackCat, s'est attaqué à au moins 60 entités dans le monde. Plusieurs atteintes notables ont été commises par le groupe au cours de l'année. Il s'est vanté d'avoir compromis des aéroports, des raffineries de pétrole et d'autres fournisseurs d'infrastructures essentielles.
Ce groupe est soit vaguement lié à Darkside, soit il s'agit d'une nouvelle marque de Darkside. On a tendance à penser également que les hackers de BlackCat ont peut-être déjà travaillé avec le cartel REvil, dont nous parlerons plus en détail dans un instant.
5. REvil a.k.a. Sodinokibi
Ce groupe a réussi à infecter des centaines de MSP avec un ransomware en juillet 2021 lors de l'attaque de Kaseya et a piraté d'innombrables autres entités particulières allant d'Apple à un sous-traitant nucléaire du gouvernement américain.
Vous avez sans doute eu vent de cette histoire, car elle a été largement médiatisée en 2022...En janvier de la même année, les autorités russes, suite à des pressions diplomatiques, ont saisi les biens de Revils, dont 426 millions de roubles et 20 voitures de luxe.
Toutefois, ce « démantèlement » s'est avéré temporaire. Le groupe a repris ses activités en avril de la même année.
REvil utilise lui aussi le modèle RaaS. Le groupe est réputé pour autoriser des affiliés à accéder à leur réseau. Ce sont ces affiliés qui exécutent les attaques par ransomware ou qui négocient avec les victimes au nom de REvil.
Cependant, il convient de noter que les responsables de REvil sont réputés pour leur malveillance, au point d'avoir trompé leurs propres affiliés en leur retirant leur part des bénéfices.
6. LockBit
Selon la CISA, en 2022, le ransomware LockBit était la variante de ransomware la plus déployée dans le monde. Cela n'a pas empêché le groupe de poursuivre ses activités en 2023.
Ce groupe de ransomwares est réputé pour exploiter en même temps des vulnérabilités anciennes et récentes (telles que la vulnérabilité d'exécution de code à distance du transfert de fichiers géré par Fortra GoAnyhwere, répertoriée comme CVE-2023-0669, et la vulnérabilité de contrôle d'accès inapproprié de PaperCut MF/NG, répertoriée comme CVE-2023-27350).
Parmi les tactiques et techniques qu'il emploie, on trouve la compromission par drive-by, l'exploitation d'applications publiques, le phishing, l'exploitation de RDP pour accéder au réseau et l'abus d'identifiants.
Ce groupe ne cesse d'innover et d'améliorer ses capacités techniques, dans le but de garder une longueur d'avance sur les professionnels de la cybersécurité.
7. La ransomware Maze
Maze est réputé pour avoir recours à la double extorsion. Le groupe a déjà ciblé de grandes entreprises, dont Canon, LG et Xerox.
Même si Maze semble avoir mis fin à ses opérations, son modèle d'activités prolifiques et dévastatrices a servi de référence à d'autres groupes de ransomwares.
Maze continue donc aujourd'hui de faire des ravages.
8. Ryuk
Ryuk aurait ciblé des centaines d'hôpitaux au moment des élections américaines en 2020. Le groupe est connu pour avoir chiffré les fichiers et les ressources du réseau, et même pour avoir délibérément détruit les sauvegardes des données des victimes.
Sans sauvegardes externes, la récupération après une attaque peut s'avérer très compliquée, voire impossible, surtout pour les petites entreprises.
Selon le FBI, Ryuk a collecté en deux ans plus de 61 millions $ auprès des victimes de ransomwares.
9. DoppelPaymer
Les auteurs de DoppelPaymer ont exigé des sommes allant de 25 000 à 17 millions $ auprès de leurs victimes, parmi lesquelles se trouvaient des groupes et des organisations gouvernementales.
Au début de l'année, Europol a annoncé que les autorités allemandes et ukrainiennes avaient arrêté deux dirigeants de DoppelPaymer. Trois autres membres de DoppelPaymer sont toujours recherchés. Le groupe est affilié à la Russie et pourrait ou non être lié au gouvernement.
10. Black Basta
Ce groupe de ransomware est constitué de membres appartenant aux gangs de ransomware Conti et REvil. Les tactiques, les techniques et les procédures sont similaires.
Les membres du groupe sont qualifiés et ont de l'expérience. Pour pénétrer dans les entreprises, Black Basta exploite souvent des failles de cybersécurité non corrigées et des codes sources accessibles au public.
Le groupe a fait sa première apparition en 2022 et a ciblé 19 grandes entreprises bien connues, en plus de 100 autres victimes confirmées, et ce seulement au cours de ses premiers mois d'activité.
Black Basta se sert de techniques particulières dans ses attaques, parmi lesquelles la désactivation du service DNS d'un système compromis. Cela complique inévitablement le processus de récupération, puisque tout accès à internet pour le service DNS est désormais impossible.
Sur le même thème
Voir tous les articles Cybersécurité