Hive, LockBit et BlackCat, trois gangs de logiciels de rançon importants, ont attaqué consécutivement le même réseau, selon Sophos. Les deux premières attaques ont eu lieu dans les deux heures et la troisième a eu lieu deux semaines plus tard. Chaque gang de rançongiciels a laissé sa propre demande de rançon, et certains des fichiers ont été triplement cryptés.
« C’est déjà assez grave d’obtenir une note de ransomware, et encore moins trois », a déclaré John Shier, conseiller principal en sécurité chez Sophos. « De multiples attaquants créent un tout nouveau niveau de complexité pour la récupération, en particulier lorsque les fichiers réseau sont triplement chiffrés. La cybersécurité qui comprend la prévention, la détection et la réponse est essentielle pour les organisations de toute taille et de tout type – aucune entreprise n’est à l’abri.
Le livre blanc « Multiple Attackers : A Clear and Present Danger » décrit en outre des cas supplémentaires de cyberattaques qui se chevauchent, notamment des cryptomineurs, des chevaux de Troie d’accès à distance (RAT) et des bots. Dans le passé, lorsque plusieurs attaquants ciblaient le même système, les attaques se produisaient généralement sur plusieurs mois ou plusieurs années. Les attaques décrites dans le livre blanc de Sophos se sont produites à quelques jours ou quelques semaines d’intervalle et, dans un cas, simultanément, souvent avec les différents attaquants accédant au réseau d’une cible via le même point d’entrée vulnérable.
Généralement, les groupes criminels se disputent les ressources, ce qui complique l’action simultanée de plusieurs attaquants. Les cryptomineurs tuent normalement leurs concurrents sur le même système, et les RAT d’aujourd’hui mettent souvent en avant le bot kill comme une fonctionnalité sur les forums criminels. Cependant, dans l’attaque impliquant les trois groupes de rançongiciels, par exemple, BlackCat, le dernier groupe de rançongiciels sur le système, a non seulement supprimé les traces de sa propre activité, mais a également supprimé l’activité de LockBit et Hive.
Dans un autre cas, un système a été infecté par le rançongiciel LockBit. Puis, environ trois mois plus tard, les membres de Karakurt Team, un groupe ayant des liens signalés avec Conti, ont pu tirer parti de la porte dérobée LockBit créée pour voler des données et les conserver contre rançon.
« Dans l’ensemble, les groupes de rançongiciels ne semblent pas ouvertement antagonistes les uns envers les autres. En fait, LockBit n’interdit pas explicitement aux affiliés de travailler avec des concurrents, comme indiqué dans le livre blanc de Sophos », a déclaré Shier. « Nous n’avons aucune preuve de collaboration, mais il est possible que cela soit dû au fait que les attaquants reconnaissent qu’il existe un nombre fini de » ressources « sur un marché de plus en plus concurrentiel. Ou, peut-être croient-ils que plus la pression est exercée sur une cible, c’est-à-dire attaques multiples, plus les victimes sont susceptibles de payer. Peut-être ont-ils des discussions à un niveau élevé, acceptant des accords mutuellement bénéfiques, par exemple, où un groupe crypte les données et l’autre les exfiltre. À un moment donné, ces groupes devront décider de ce qu’ils pensent de la coopération – s’ils veulent l’adopter davantage ou devenir plus compétitifs – mais, pour l’instant, le terrain de jeu est ouvert à de multiples attaques de différents groupes. »
La plupart des infections initiales pour les attaques mises en évidence dans le livre blanc se sont produites via une vulnérabilité non corrigée, dont certaines des plus notables sont Log4Shell, ProxyLogon et ProxyShell, ou des serveurs RDP (Remote Desktop Protocol) non sécurisés et mal configurés.< /p>
Dans la plupart des cas impliquant plusieurs attaquants, les victimes n’ont pas réussi à remédier efficacement à l’attaque initiale, laissant la porte ouverte à de futures activités cybercriminelles. Dans ces cas, les mêmes erreurs de configuration RDP, ainsi que des applications comme RDWeb ou AnyDesk, sont devenues une voie facilement exploitable pour les attaques de suivi. En fait, les serveurs RDP et VPN exposés font partie des listes les plus populaires vendues sur le dark web.
« Comme indiqué dans le dernier Active Adversary Playbook, en 2021, Sophos a commencé à voir des organisations être victimes de plusieurs attaques simultanément et a indiqué que cela pourrait être une tendance croissante », a déclaré Shier. « Alors que l’augmentation du nombre d’attaquants multiples est toujours basée sur des preuves anecdotiques, la disponibilité de systèmes exploitables donne aux cybercriminels de nombreuses opportunités de continuer dans cette direction. »
