Venafi a annoncé les résultats d’une enquête sur le dark web sur les ransomwares propagés par le biais de macros malveillantes. Menée en partenariat avec le fournisseur de renseignements criminels Forensic Pathways entre novembre 2021 et mars 2022, la recherche a évalué 35 millions d’URL du dark web, composées de places de marché et de forums en ligne, à l’aide du moteur de recherche en ligne sombre de Forensic Pathways.
Les résultats ont découvert 475 pages Web de services et de produits de rançongiciels sophistiqués, avec plusieurs groupes de premier plan qui commercialisent agressivement les rançongiciels en tant que service.
- 87 % des rançongiciels trouvés sur le dark web ont en fait été fournis par des macros nuisibles pour contaminer les systèmes ciblés.
- 30 « noms de marque » différents de ransomwares ont été identifiés dans les listes de marchés et les discussions sur les forums.
- De nombreux stress liés à la vente de ransomwares, tels que Babuk, GoldenEye, Darkside/BlackCat, Egregor, HiddenTear et WannaCry – ont en fait été utilisés avec succès dans des attaques majeures.
- Les souches de ransomware utilisées dans des attaques très médiatisées entraînent un prix plus élevé pour les ser associés vices. La liste la plus chère était de 1 262 $ pour une version personnalisée du rançongiciel Darkside, qui a été utilisée dans la célèbre attaque de rançongiciel Colonial Pipeline de 2021.
- Les listes de code source pour les rançongiciels bien connus commandent généralement des prix plus élevés, source Babuk le code est répertorié pour 950 $ et le code source Paradise coûte 593 $.
« Les rançongiciels continuent d’être l’un des plus grands dangers pour la cybersécurité dans chaque organisation », a déclaré Kevin Bocek, vice-président des techniques de sécurité et des risques. renseignement pour Venafi. « L’attaque par rançongiciel contre Colonial Pipeline était si grave qu’elle a été considérée comme une menace pour la sécurité nationale, obligeant le président Biden à déclarer l’état d’urgence. »
Les macros sont utilisées pour automatiser les tâches typiques dans Microsoft Workplace, aidant les individus pour être plus efficace. Cependant, les ennemis peuvent utiliser cette même fonctionnalité pour diffuser de nombreux types de logiciels malveillants, notamment des ransomwares. En février, Microsoft a annoncé une modification importante pour lutter contre la croissance rapide des attaques de ransomwares diffusées au moyen de macros nuisibles, mais ils ont temporairement annulé cette décision en réaction aux commentaires de la communauté.
« Considérant que presque tout le monde peut publier un attaque de rançongiciel utilisant une macro destructrice, l’indécision de Microsoft concernant la désactivation des macros devrait effrayer tout le monde », a déclaré Bocek. « Alors que l’entreprise a en fait changé de cap une deuxième fois sur la désactivation des macros, le fait qu’il y ait eu des réactions négatives de la part des utilisateurs suggère que les macros pourraient persister en tant que vecteur d’attaque mûr. »
En plus d’une gamme de ransomware à différents niveaux de prix, la recherche a également découvert une large gamme de services et d’outils qui aident à simplifier le lancement d’attaques par ransomware pour les adversaires ayant des compétences techniques minimales. Les fournisseurs avec la plus grande variété de listes incluent ceux qui fournissent du code source, des services de construction, des services de développement personnalisés et des offres groupées de ransomwares qui incluent des didacticiels détaillés.
Les services de construction de ransomwares génériques entraînent également des coûts élevés, certaines listes coûtant plus de 900 $. . À l’autre extrémité du spectre tarifaire, de nombreuses options de ransomware peu coûteuses sont proposées sur plusieurs listes, avec des tarifs commençant à seulement 0,99 $ pour le ransomware Lockscreen.
Ces résultats sont un autre exemple de l’exigence d’une gestion de l’identité des appareils. contrôler l’avion pour obtenir des résultats de service particuliers consistant en l’observabilité, la cohérence et la fiabilité. En particulier, la finalisation du code est un contrôle de sécurité crucial pour la gestion de l’identité de l’appareil qui élimine le risque de rançongiciel activé par les macros.
« L’utilisation de certificats de finalisation de code pour authentifier les macros indique que les macros anonymes ne peuvent pas fonctionner, arrêtant les rançongiciels attaques dans son élan », conclut Bocek. « C’est l’occasion pour les groupes de sécurité d’intensifier et de protéger leurs services, en particulier dans les domaines de la banque, de l’assurance, de la santé et de l’énergie, où les macros et les documents Office sont utilisés chaque jour pour alimenter la prise de décision. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
