Pourquoi c’est important : les rançongiciels restant une menace de sécurité répandue, une étape nécessaire pour contrer les attaquants consiste à déterminer leurs techniques. Les scientifiques de la sécurité ont découvert que plusieurs des groupes les plus prolifiques partagent une part importante de leurs méthodes, ce qui les rend potentiellement plus prévisibles.
Un tout nouveau rapport de la société de sécurité Kaspersky révèle que 8 des gangs de ransomwares les plus actifs fonctionnent avec des schémas vraiment comparables. Les spécialistes de l’analyse, de la criminalistique numérique et d’autres agents de sécurité pourraient utiliser ces similitudes pour déterminer et combattre plus efficacement ces agresseurs.
Le rapport examine les stratégies, techniques et procédures de (TTP) des groupes de ransomware Conti/ Ryuk, Pysa, Clop (TA505), Hive, Lockbit 2.0, RagnarLocker, BlackByte et BlackCat. VentureBeat note que ces huit gangs ont agressé plus de 500 entreprises sur de nombreux marchés aux États-Unis, au Royaume-Uni et en Allemagne au cours de la dernière année. Kaspersky a développé un tableau intéressant répertoriant de nombreuses étapes dans les attaques de ransomware et montrant quels adversaires subissent chaque action. Aucun d’entre eux n’est distinct d’un groupe.
Cliquez sur l’image pour voir le graphique en taille réelle
Tous les groupes aiment commencer par attaquer des services distants externes, tandis que seulement la moitié fait de même ouvert avec le phishing. Tous les gangs ont tendance à préférer des cibles telles que l’instrumentation de gestion Windows, les interpréteurs de commandes et de scripts, les procédures de couche d’application, les protocoles Web, l’exécution de binaires signés, etc.
Étapes typiques comme éviter la récupération du système ou sécuriser les informations les plus importantes semblent apparents. Cependant, certaines des techniques les moins courantes impliquent des tâches BITS, la suppression des informations d’identification de compte dans les magasins de mots de passe ou leur obtention à partir de navigateurs Web.
Début juin, un centre Foxconn au Mexique a subi une attaque de Lockbit 2.0. Parmi les autres victimes actuelles de rançongiciels figurent QNAP, Asustor et Nvidia.
Toute l’actualité en temps réel, est sur L’Entrepreneur
