En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Qui sont les opérateurs de ransomwares et où les trouver : Kaspersky mène l’enquête

Publication: Mai 2021

Partagez sur
 
Le sujet des ransomwares se retrouve sur toutes les lèvres dès lors que l’on évoque les menaces cyber auxquelles pourraient être confrontées les entreprises en 2021...
 

Plus ambitieux que jamais, les attaquants vont jusqu’à créer leur propre marque, tandis que les annonces d’entreprises victimes de ransomwares continuent de faire régulièrement la une. Mais en se mettant sous le feu des projecteurs, ces groupes cachent la véritable complexité de l’écosystème des ransomwares. Pour aider les entreprises à comprendre comment fonctionne cette nébuleuse et comment la combattre, les chercheurs Kaspersky se sont intéressés aux forums hébergés sur le darknet et ont enquêté sur les gangs tels que REvil et Babuk et publient un nouveau rapport qui démystifie certains mythes à propos des ransomwares. Car si l’on y regarde de plus près, on découvre un univers aux multiples visages.

Un écosystème de services, bien organisé où chacun tient son rôle

Comme tout secteur d’activité, l’écosystème des ransomwares comprend une multitude d’acteurs qui jouent différents rôles. Contrairement à la croyance selon laquelle les cybercriminels sont regroupés en gangs très soudés qui partagent tout et obéissent à un chef, la réalité est plus proche du film The Gentlemen de Guy Ritchie. La plupart des attaques font intervenir un nombre important d’acteurs différents développeurs, botmasters, vendeurs d’accès ou opérateurs de ransomwares qui se rendent mutuellement service via des places de marché hébergées sur le darkweb.

Ces acteurs échangent par le biais de forums spécialisés sur le darknet, où des offres de services et de partenariats sont régulièrement postées. Les gros bonnets qui opèrent de façon autonome ne fréquentent pas ce type de sites, mais des groupes connus tels que REvil, qui ont ciblé un nombre croissant d’entreprises au cours des derniers trimestres, publient régulièrement leurs offres et leurs actualités au moyen de programmes d’affiliation. Les contrats de ce type supposent un partenariat entre l’opérateur du groupe de ransomwares et un affilié, l’opérateur percevant une marge de 20 à 40 % et l’affilié les 60 à 80 % restants.

REvil annonce une nouvelle fonctionnalité permettant d’interpeller les médias et les partenaires de la cible pour accentuer la pression en vue d’obtenir le paiement de la rançon.

Des affiliés choisis avec soin et des victimes choisies à l’opportunité

Les affiliés sont recrutés selon un processus bien huilé dont les règles de base sont fixées dès le départ par les opérateurs de ransomwares. Ces règles peuvent notamment imposer des restrictions géographiques ou véhiculer une idéologie politique. Les victimes, en revanche, sont choisies de manière opportuniste.

Comme les individus qui s’attaquent aux entreprises et ceux qui opèrent les ransomwares appartiennent à des groupes distincts, formés uniquement par l’appât du gain, les entreprises ciblées sont souvent les plus faciles à atteindre celles que les pirates peuvent infiltrer sans difficultés. Ceux-ci peuvent être des acteurs rattachés aux programmes d’affiliation ou des opérateurs indépendants, qui revendent ensuite l’accès au réseau des entreprises par le biais d’enchères ou à prix fixe à partir de 50 USD (soit environ 40 euros). Bien souvent, ces attaquants sont des propriétaires de botnets qui travaillent sur des campagnes de grande ampleur et vendent l’accès aux machines des victimes par « lots ». Il peut également s’agir de « revendeurs d’accès » qui traquent les vulnérabilités offertes par les logiciels exposés à Internet, telles que les applications VPN ou les passerelles de messagerie, véritables portes d’entrée au réseau des entreprises.

Des places de marché complètes avec de nombreuses offres dédiées au cybercrime

Les forums de ransomwares hébergent également d’autres types d’offres. Certains opérateurs vendent des échantillons de malwares et des logiciels de conception de ransomwares pour des sommes qui peuvent varier entre 300 et 4 000 USD (soit entre 240 et 3 290 euros environ), quand d’autres proposent des forfaits RaaS (Ransomware-as-a-Service), qui comprennent l’achat du ransomware et le support technique des développeurs, à des tarifs allant de 120 USD (100 euros environ) par mois à 1 900 USD (soit 1 590 euros) par an.

« Ces 2 dernières années, nous avons constaté que les cybercriminels sont devenus plus audacieux dans leur utilisation des ransomwares. Les entités visées par ces attaques ne se limitent pas aux entreprises et aux organisations gouvernementales. Les opérateurs de ransomware sont prêts à hacker tous types d’entreprises et ce peu importe leur taille. Il apparait clairement que l’industrie du ransomware est complexe et implique de nombreux acteurs avec des rôles variés. Pour les combattre, nous devons nous éduquer et comprendre la façon dont ils fonctionnent pour leur faire face de manière unie. Le « Anti-Ransomware Day » est une bonne opportunité de mettre ce besoin en lumière et de rappeler l’importance d’adopter des pratiques de sécurité efficaces. L’initiative “Global Cybercrime Programme” d’INTERPOL, lancée ensemble avec nos partenaires, est bien décidée à réduire l’impact des ransomwares à l’échelle mondiale et à protéger les communautés des dommages causés par cette menace grandissante », commente Craig Jones, Director Cybercrime, INTERPOL.

« L’écosystème des ransomwares est complexe car il y a beaucoup d’intérêts en jeu. C’est un marché fluide avec beaucoup d’acteurs, certains très opportunistes, d’autres très professionnels et sophistiqués. Ils ne choisissent pas de cible en particulier et s’attaquent à toute organisation une grande entreprise grande, une toute petite activité indépendante, peu importe, du moment qu’ils parviennent à l’infiltrer. Et vu le succès de leurs activités, les cybercriminels ne vont pas disparaître du jour au lendemain », commente Dmitry Galov, chercheur en cybersécurité au sein de la Global Research and Analysis Team (GReAT) de Kaspersky. « La bonne nouvelle, c’est que des mesures de sécurité relativement simples peuvent décourager les attaquants. Des pratiques de base telles que la mise à jour régulière des logiciels et les sauvegardes ciblées ont une véritable utilité. Et les entreprises peuvent aller beaucoup plus loin pour se protéger. »

« Pour mettre en place des mesures efficaces contre l’écosystème des ransomwares, il est indispensable de bien comprendre ses tenants et ses aboutissants. Grâce à ce rapport, nous espérons faire lumière sur la façon dont les attaques de ransomwares sont véritablement coordonnées, pour que les entreprises puissent adopter des mesures de protection adéquates », ajoute Ivan Kwiatkowski, chercheur en cybersécurité senior au sein du GReAT de Kaspersky.

En ce 12 mai, à l’occasion de la Journée anti-ransomware, Kaspersky incite les entreprises à suivre les meilleures pratiques ci-après pour se protéger des ransomwares :

- Constamment mettre à jour les logiciels sur l’ensemble des appareils que vous utilisez, pour empêcher les attaquants d’infiltrer votre réseau en exploitant ses vulnérabilités.

- Concentrer votre stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration de données vers Internet. Surveiller tout particulièrement le trafic sortant pour détecter les connexions des cybercriminels. Créer des sauvegardes hors ligne auxquels les intrus ne peuvent pas avoir accès. S’assurer de pouvoir rapidement y accéder en cas d’urgence.

- Activer la protection anti-ransomwares pour tous les terminaux. Kaspersky met à disposition des entreprises un module anti-ransomware gratuit compatible avec les solutions de sécurité déjà installées, qui empêche les exploits informatiques et qui protège les ordinateurs et les serveurs face aux ransomwares et autres types de malwares.

- Installer des solutions anti-APT et EDR, qui offrent des capacités avancées de détection et de découverte des menaces, d’investigation et de traitement des incidents. Permettre à votre équipe SOC d’accéder aux toutes dernières données en matière de menaces et lui dispenser des formations régulières pour la mise à niveau des compétences. Toutes ces mesures sont intégrées dans l’écosystème Kaspersky Expert Security.

https://www.kaspersky.fr/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: