Recherche

Ransomware : Big Game Hunting, exfiltration... les attaquants se tournent vers le plus rentable et affutent leurs outils

Cette tendance est motivée par l'intérêt persistant à maximiser la monétisation et fait écho à l'adoption massive de la technique de double extorsion, plus rentable, observée ces deux dernières années, et qui se poursuit en 2023.

Publié par le | Mis à jour le
Lecture
5 min
  • Imprimer
Ransomware : Big Game Hunting, exfiltration... les attaquants se tournent vers le plus rentable et affutent leurs outils

Pour faire les bons choix en matière de stratégie de cybersécurité, une entreprise doit de toute évidence être à l'écoute du marché et des acteurs de la cybersécurité propres à l'aider dans la définition de ses priorités face aux menaces.

Pour cela, elle doit s'appuyer sur des équipes, internes ou externes, bien formées et rompues à l'observation des dernières évolutions en matière de pratiques du côté des attaquants.

Car quoi de mieux que de connaître son ennemi ?  Pour les aider dans cette connaissance du paysage des cybermenaces, nous nous intéressons aux tendances propres à l'écosystème des ransomware.

Voici ce que je retire de nos observations depuis le début de l'année 2023 :

Une augmentation significative du volume et de l'intensité de la menace ransomware

Au premier semestre 2023, après une baisse relative fin 2022, le paysage des menaces liées aux ransomwares s'est caractérisé par une croissance significative à la fois du nombre d'opérations  actives, du nombre d'attaques revendiquées et du volume des transactions illicites.

Ces hausses sont liées à plusieurs hypothèses :

? La multiplication des campagnes de type « Big Game Hunting » (BGH) avec des demandes de rançons très élevées et la prolifération des attaques à petite échelle.

A noter que l'adoption massive de la technique de la double extorsion par un grand nombre de groupes émergents accroît naturellement le nombre d'acteurs de la menace divulguant publiquement les noms de leurs victimes, et participe à l'effet de croissance constatée.

? Des campagnes d'exploitation de vulnérabilités en masse, observées dès la fin de 2022, ont ouvert la voie à un très grand nombre de ransomware, sophistiqués ou pas, et à la multiplication des campagnes d'attaques.

? Un nombre croissant d'acteurs opèrent avec des versions recyclées de Babuk ou LokBit qui ont fuité sur les forums, conduisant à la prolifération de souches de ransomware.

? Autre indicateur, Chainalysis constate que toutes les menaces liées à la cryptomonnaie ont diminué en 2023 comparé à 2022, sauf les ransomware qui enregistrent une croissance significative de revenus par l'extorsion. Cela démontre que l'écosystème des ransomware reste très lucratif et que les opérateurs n'ont pas de raisons de s'en détourner.

? Selon Chainalysis, alors que la majorité des revenus générés par les ransomware sont liés à des acteurs basés en Russie ou affiliés à ce pays, la tendance à la baisse des attaques par ransomware constatée en 2022 pourrait s'expliquer par le fait que la guerre « aurait perturbé la capacité des opérateurs à mener des attaques », lesquels auraient repris leurs activités en 2023.

Des typologies de victimes très hétérogènes

En termes de régions touchées, les zones d'attaques restent concentrées en Amérique du Nord, en Europe et en Australie.

Cependant, le Brésil enregistre un nombre croissant d'attaques, à mettre en corrélation avec les menaces en amont telles que les IABs (Initial Access Brokers) et les infostealers, qui touchent davantage le Brésil ces dernières années. Cela montre les liens très forts dans la chaîne des activités des différents acteurs cybercriminels.

En termes de secteurs, c'est celui des produits manufacturiers qui reste au top des plus ciblés, certainement du fait qu'il concentre beaucoup de grosses entreprises très présentes numériquement donc très exposées. Cependant, dernièrement le secteur des services aux entreprises apparaît comme très affecté, se prêtant très bien aux attaques via la supply chain.

Selon de nombreuses sources, le Big Game Hunting reste une tendance forte ces derniers mois, avec des entreprises à haut revenus particulièrement affectées par des attaques sophistiquées et des demandes de rançons élevées. Là encore de nombreux opérateurs délaisseraient les opérations de ransomware en masse pour se tourner vers ce marché du BGH plus juteux.

Les signes d'une maturité croissante : des tactiques malveillantes affinées et un arsenal élargi

Dans un effort de rentabilité financière, de nombreux groupes de ransomware ajoutent à leur surface d'attaque des serveurs Linux et VMWare ESXi en plus de l'OS Windows traditionnel.

Ils manifestent aussi un intérêt constant pour l'ajout d'outils personnalisés et de logiciels malveillants à leur arsenal. Pour preuve, la sortie de services personnalisés de mixage de cryptomonnaies (MedusaLocker, NoEscape), de services DDoS et spam (Qilin, NoEscape), de services de centres d'appels (NoEscape, Trigona, Qilin), tous intégrés aux trousses RaaS.

A ceci s'ajoutent des outils malveillants liés à l'exfiltration qui volent des informations sensibles sur des réseaux compromis, en plus du chiffrement des données. Des programmes RaaS tels que Cyclops intègrent par exemple un infostealer personnalisé au kit d'attaque loué aux affiliés.

Des sources ouvertes signalent plusieurs cas d'utilisation d'outils personnalisés d'exfiltration lors de campagnes de ransomware : un script d'exfiltration de données PowerShell personnalisé et entièrement automatisé chez Vice Society, deux outils propriétaires de vol de données chez Play, ou encore un outil d'exfiltration personnalisé chez Blacktail, un groupe découvert en février 2023, pour diffuser son ransomware Buhti.

Cette tendance est motivée par l'intérêt persistant à maximiser la monétisation et fait écho à l'adoption massive de la technique de double extorsion, plus rentable, observée ces deux dernières années, et qui se poursuit en 2023.

Résultat : les opérateurs de ransomware ont besoin de recruter des affiliés pour distribuer leurs ransomware personnalisés, mais aussi pour recruter des partenaires susceptibles de combler un manque de compétences au sein du groupe ou pour une mission à court terme. Car une chose est sûre : toutes les vulnérabilités attaquées en amont n'ont pas encore et exploitées. Loin s'en faut !

Livia Tibirna, Chercheuse au sein de l'équipe Threat & Detection Research - Sekoia.io.

Livres Blancs #workspace

Voir tous les livres blancs
S'abonner
au magazine
Se connecter
Retour haut de page