Crédit : Dreamstime
Au cours des dernières années, l’introduction de grands ticket, les attaques de ransomware nuisibles ont en fait poussé les gouvernements fédéraux à agir pour circonscrire les stars du risque principalement basées en Russie derrière le fléau.
Dans le même temps, les rançongiciels ont été un facteur essentiel du développement des budgets de cybersécurité des entreprises, car les organisations sont souvent confrontées à un danger paralysant.
Indépendamment des mesures politiques et de l’augmentation des financement du secteur pour ralentir le rythme des attaques, les risques liés aux rançongiciels sont restés un sujet majeur lors de la conférence RSA de cette année.
Les experts présents à l’occasion ont souligné que les vedettes criminelles sanctionnées par l’État russe ne sont pas les seules vedettes du danger des rançongiciels à craindre, les attaques de rançongiciels ne diminuent pas non plus, quels que soient les efforts intensifiés pour les étouffer dans l’œuf. Les mêmes mesures prises pour mettre fin à l’activité des ransomwares pourraient finir par créer des alliances entre des stars du danger motivées financièrement pour produire des cyberattaques hybrides qui associent l’ingénierie sociale aux ransomwares.
L’Iran est un innovateur en matière de ransomwares
S’exprimant à RSA, Dmitri Alperovitch, président exécutif de Silverado Policy Accelerator et co-fondateur et ancien CTO de CrowdStrike, a déclaré que l’Iran est un innovateur en matière de ransomware avec son ransomware SamSam. Il gardait à l’esprit que c’était un groupe iranien qui avait attaqué la ville d’Atlanta et l’État du Colorado avec ce logiciel malveillant, et que c’était l’Iran qui avait tout d’abord proposé une chasse au gros gibier à grande échelle.
» Pas simplement essayer pour cibler un système au sein d’un réseau et le verrouiller, mais en faisant une invasion puis en lançant un rançongiciel sur l’ensemble du réseau pour tenter d’obtenir une rançon aussi importante que possible que nous avons maintenant vue de tous les autres groupes comme REvil, LockBit, et d’autres », a-t-il déclaré.
» Parmi les choses que font les Iraniens, et nous le constatons également dans le domaine criminel, il y a la transmission de données aux organisations de bogues », a déclaré Alperovitch.
Les attaques de ransomwares continuent d’augmenter
Sandra Joyce, vice-présidente exécutive et responsable de Mandiant Intelligence and Advanced Practices, a déclaré qu’il est trompeur de croire que les attaques de ransomwares diminuent, un malentendu courant dans le à la suite de l’invasion de la Russie par l’Ukraine. » Si vous jetez un coup d’œil au premier trimestre chaque année et au deuxième trimestre année après année, ce que vous visitez est une augmentation très nette « , a-t-elle déclaré.
» Je peux vous informer que chez Mandiant, nous avons constaté une pic dans les 18 derniers mois. » Joyce a souligné en particulier les victimes de sites Web honteux, » où si vous ne payez pas et franchement à des moments où vous payez réellement, les stars du danger vont y jeter vos données. »
Parfois, les rançongiciels ne sont pas considérés comme des attaques de groupes à risque. « Une grande partie de ce que nous déterminons pour les rançongiciels se mêle au vol de données et à l’extorsion, et il n’est peut-être pas du tout nécessaire de supprimer un logiciel malveillant », a déclaré Joyce.
» Et nous prévoyons depuis un certain temps que ces attaques pourraient n’avoir absolument rien à voir avec des logiciels malveillants. Il pourrait s’agir simplement d’extorsion et de vol de données, et cela est considéré comme un rançongiciel. La chose à penser à beaucoup de ce qui se passe dans le domaine des ransomwares avec ou sans malware est une tactique pour éviter les sanctions. «
REvil revient d’entre les morts
Les nouvelles sur les rançongiciels ne sont pas toutes mauvaises, a déclaré Alperovitch. » Nous avons eu de bonnes nouvelles sur le front des rançongiciels. En janvier, un mois avant [l’intrusion de la Russie en Ukraine], les Russes ont fait quelque chose à ce sujet contre 14 individus qui sont devenus membres de ce groupe, REvil, qui était responsable de certains des attaques les plus importantes en 2015. «
Des développements plus récents ont sapé même cet endroit brillant. » Problème résolu, n’est-ce pas? » déclara Alperovitch. » Eh bien, pas si vite. La petite chose appelée guerre a eu lieu, et cela, naturellement, a conduit à une rupture des interactions entre les cyber-équipes du gouvernement américain et les cyber-équipes russes. C’est compréhensible. «
» Ce que vous voyez maintenant, ce sont des déclarations émanant d’avocats de ces personnes en Russie disant : « Eh bien, il s’avère que les États-Unis ne fournissent aucune information que nous pouvons … utiliser dans les poursuites contre ces personnes. [ procureurs] doivent simplement abandonner les charges et les laisser partir. On ne sait pas si cela s’est déjà produit. «
Le groupe de danger prolifique revient à la vie dans ce qu’Alperovitch a déclaré être un écosystème exceptionnellement résistant qui répartit les obligations entre de nombreux acteurs spécialisés au sein du groupe. » Parmi les choses importantes que nous voyons maintenant, REvil commence à revenir. Certains de leurs sites Web et réseaux tor sont revenus, et nous devons surveiller cela de très près. «
L’attaque par rançongiciel du Costa Rica est un récit édifiant
L’attaque actuelle par rançongiciel contre le Costa Rica qui a coûté à la nation plusieurs millions de dollars en perte d’efficacité et a incité les agresseurs du rançongiciel Conti à exiger le renversement du gouvernement fédéral du pays met en évidence le pouvoir néfaste persistant des rançongiciels.
Matt Olsen, directeur juridique adjoint pour la sécurité nationale au ministère américain de la Justice, a signalé que l’attaque sur le Costa Rica n’est probablement pas ciblé, mais il s’agit très probablement d’un cas de ransomware incontrôlé.
Olsen a déclaré que l’attaque au Costa Rica est un éventuel « débordement » des opérations du groupe russe de ransomware.
« Quand vous regardez ce qui s’est passé avec NotPetya, où l’attaque russe était en fait concentrée sur l’Ukraine, c’était une sorte d’attaque bidon de ransomware », a gardé à l’esprit Olsen. C’est la nature de ces types d’attaques. Ils n’identifient pas les frontières nationales.
» Je crois que c’est un récit édifiant où vous voyez qu’il y a toutes les raisons de croire que la Russie élargira sa portée aux nations et aux lieux en utilisant des groupes qui vont l’aider à atteindre ses objectifs. «
Les acteurs des ransomwares et des BEC pourraient converger d’ici un an ou deux
2 des principales cyberattaques à motivation financière, les ransomwares et la compromission des e-mails d’organisation (BEC), ont augmenté en parallèlement au cours des 5 à 6 dernières années, malgré le fait qu' »ils sont sur des côtés totalement opposés du spectre de la cybercriminalité » en ce qui concerne l’élégance, a déclaré Crane Hassold, directeur du renseignement sur les risques chez Abnormal Security, aux participants à la conférence.
Ransomware est une spécialité hautement ciblée avec une communauté centralisée. Près des deux tiers de toutes les activités de ransomwares entre 2020 et 2021 pourraient être attribuées à seulement 3 groupes de ransomwares, a déclaré Hassold. » Aujourd’hui, plus de 50 % de l’activité des rançongiciels est attribuée à Conti ou LockBit. «
D’autre part, BEC est consacré par d’innombrables acteurs avec peu d’instructions centrales, principalement dans des endroits comme l’Afrique de l’Ouest ou le Nigeria. Malgré ces différences, Hassold pense que les acteurs des ransomwares graviteront vers BEC au cours des 12 à 18 prochains mois, généralement parce que les autorités gouvernementales fédérales empêchent les gangs de ransomwares de gagner de l’argent grâce à la crypto-monnaie.
« L’environnement sans friction que les transactions de crypto-monnaie géraient auparavant va commencer à disparaître, et il sera beaucoup plus difficile d’effectuer ces transactions à des fins plus destructrices et illégales », a-t-il déclaré. » À cause de cela, le retour sur investissement global, l’effort général requis pour effectuer ces transactions commencera à générer des rendements décroissants pour les stars du danger. «
Les acteurs du ransomware vont » pivoter ailleurs pour générer des revenus, et de mon point de vue, ce que nous verrons peut-être dans les 12 à 18 prochains mois, c’est cette convergence nécessaire des stars du ransomware et de l’espace BEC pour développer cette attaque d’ingénierie sociale hybride sophistiquée qui prend fondamentalement [on] l’échelle et l’élégance du ransomware. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
