Les secteurs essentiels souvent victimes cyber de « double extorsion »

Zscaler, Inc. (NASDAQ: ZS), leader de la sécurité dans le Cloud, présente les résultats du rapport ransomwares mené par son laboratoire de recherches, ThreatLabZ.

Paris – 17 mai 2021 – Grâce à l’analyse de plus de 150 milliards de transactions réalisées sur la plateforme cloud de Zscaler et 36,5 milliards d’attaques bloquées entre novembre 2019 et janvier 2021, les chercheurs de Zscaler ont pu identifier les principales tendances en matière de ransomware : les grands acteurs du domaine et leurs tactiques, les variantes émergentes de ransomware, leur origine, et la manière de les stopper, ainsi que les industries les plus ciblées.

Le rapport disponible ici souligne également un risque croissant lié aux attaques utilisant la « double extorsion » (les attaquants chiffrent les données, mais les exfiltrent en amont puis menacent l’entreprise de les rendre publiques) et même désormais une  triple extorsion (en ajoutant des attaques DDoS), qui ont pour objectif d’intensifier encore plus la pression sur les victimes.

Deepen Desai, CISO et VP de la recherche en sécurité chez Zscaler déclare : « Au cours des dernières années, la menace des ransomwares est devenue de plus en plus dangereuse, avec de nouvelles méthodes comme la double extorsion et les attaques DDoS qui permettent aux cybercriminels de perturber considérablement les grandes organisations et de nuire durablement à leur réputation. Ces attaques deviennent de plus en plus ciblées par nature, les cybercriminels frappant les organisations avec une plus grande probabilité de paiement de la rançon. Nous avons récemment analysé des attaques dans lesquelles il était clair que les attaquants avaient connaissance d’éléments clés pour la réussite de leur attaque : un contrat de cyberassurance mis en place par la victime ou encore une cartographie précise de la supply chain de l’entreprise, notamment de ses fournisseurs critiques… Il est donc essentiel que les entreprises comprennent mieux le risque que représentent les ransomwares et prennent les précautions nécessaires pour éviter une attaque :  toujours corriger les vulnérabilités, apprendre aux employés à repérer les emails suspects, sauvegarder régulièrement les données, mettre en œuvre une stratégie de prévention des pertes de données et utiliser une architecture Zero Trust pour minimiser la surface d’attaque, empêcher les mouvements latéraux… ».

La double extorsion : la nouvelle méthode privilégiée

Dès fin 2019, le ThreatLabz a observé la tendance des attaques dites de « double-extorsion » dans certaines des familles de ransomware les plus actives et les plus impactantes. Fin 2020, l’équipe a remarqué que cette tactique était encore renforcée par des attaques DDoS synchronisées, surchargeant les sites Web des victimes et exerçant une pression supplémentaire sur les organisations pour qu’elles coopèrent.

Selon le Zscaler ThreatLabZ, de nombreuses industries différentes ont été ciblées au cours des deux dernières années par des attaques de ransomware procédant à une double extorsion. Les industries les plus ciblées sont les suivantes :

  1. Industrie manufacturière (12,7 %)
  2. Services (8,9 %)
  3. Transports (8,8 %)
  4. Commerce de détail et de gros (8,3 %)
  5. Technologie (8 %)

Les ransomware les plus actifs

Au cours de l’année dernière, ThreatLabz a identifié sept « familles » de ransomware particulièrement actives et a analysé les origines et les tactiques :

  • Maze : Initialement rencontré en mai 2019, Maze était le ransomware le plus couramment utilisé pour les attaques à double extorsion (représentant 273 incidents) jusqu’à ce qu’il ait apparemment cessé ses activités en novembre 2020. Les attaquants ont utilisé des campagnes de spam, des kits d’exploitation tels que Fallout et Spelevo, et des services RDP piratés pour accéder aux systèmes et ont réussi à collecter d’importantes rançons après avoir chiffré et volé des fichiers dans des entreprises informatiques et technologiques. Les trois principaux secteurs ciblés par Maze sont la haute-technologie (11,9 %), l’industrie manufacturière (10,7 %) et les services (9,6 %). Maze s’est notamment engagé à ne pas cibler les entreprises de santé pendant la pandémie COVID-19.
  • Conti : Repéré pour la première fois en février 2020 et deuxième famille d’attaques la plus courante avec 190 attaques, Conti partage le code avec le ransomware Ryuk et semble être son successeur. Conti utilise l’API du gestionnaire de redémarrage de Windows avant de chiffrer les fichiers, ce qui lui permet de chiffrer davantage de fichiers dans le cadre de son approche de double extorsion. Les victimes qui ne veulent pas ou ne peuvent pas payer la rançon voient leurs données régulièrement publiées sur le site Web de Conti consacré aux fuites de données. Les trois secteurs les plus touchés sont l’industrie manufacturière (12,4 %), les services (9,6 %) et les services de transport (9,0 %).
  • Doppelpaymer : Remarqué pour la première fois en juillet 2019, avec 153 attaques documentées, Doppelpaymer cible un éventail d’industries et demande souvent des paiements importants – les montants vont de six et sept chiffres. Infectant initialement les machines avec un courriel de spam contenant un lien ou une pièce jointe malveillante, Doppelpaymer télécharge ensuite les logiciels malveillants Emotet et Dridex dans les systèmes infectés. Les trois organisations les plus ciblées par Doppelpaymer sont actives dans l’industrie manufacturière (15,1 %), le commerce de détail et de gros (9,9 %) et les administrations publiques (8,6 %).
  • Sodinokibi : Également connu sous le nom de REvil et Sodin, Sodinokibi a été repéré pour la première fois en avril 2019, et a été rencontré avec une fréquence croissante avec 125 attaques. Comme Maze, Sodinokibi utilise des courriels de spam, des kits d’exploitation et des comptes RDP compromis, et exploite fréquemment des vulnérabilités dans Oracle WebLogic. Sodinokibi a commencé à utiliser des tactiques de double extorsion en janvier 2020, et a eu le plus grand impact sur le transport (11,4 %), la fabrication (11,4 %) et le commerce de détail/de gros (10,6 %).
  • Avaddon : Avaddon a été repéré pour la première fois en juin 2020 et utilise généralement de vastes campagnes de spam comme méthode d’infection privilégiée. Il utilise des indices d’ingénierie sociale, tels que des emails simples avec le contenu : « Regardez cette photo ! ». Avaddon cible une variété d’industries, mais il cible particulièrement des organismes gouvernementaux (12,5 %), des entreprises de haute-technologie (9,4 %), et les services financiers à égalité avec les services aux consommateurs à 9,4 %.
  • RagnarLocker : RagnarLocker a acquis une certaine notoriété en avril 2020 lorsqu’il a été utilisé pour extorquer une rançon de 11 millions de dollars à une entreprise dont le nom n’a finalement jamais filtré. Visant principalement les entreprises manufacturières et technologiques, ce ransomware déploie un malware à l’intérieur d’une machine virtuelle Oracle VirtualBox Windows XP pour échapper à la détection. En exécutant le programme dans une machine virtuelle, le ransomware peut accéder à volonté aux disques locaux, aux réseaux mappés et aux disques amovibles des hôtes. Les secteurs les plus touchés par RagnarLocker sont l’industrie manufacturière (22,7 %) et les entreprises de hautes technologies (13,6 %), suivis par le commerce de détail et de gros, l’industrie pharmaceutique, la construction et le secteur juridique, qui représentent tous 9,1 % du total des attaques.
  • DarkSide : DarkSide a été repéré pour la première fois en août 2020 après avoir publié un communiqué de presse annonçant ses services. Utilisant un modèle de « Ransomware-as-a-Service », DarkSide déploie des méthodes de double extorsion pour voler et chiffrer des informations. Le groupe communique largement sur ses cible et explique sur son site web ne pas attaquer pas les organisations de santé, les services funéraires, les établissements d’enseignement, les organisations à but non lucratif ou les entités gouvernementales. Les cibles de prédilection sont plutôt les services (16,7 %), l’industrie manufacturière (13,9 %) et les services de transport (13,9 %). Comme pour Conti, ceux qui ne peuvent pas payer la rançon voient leurs données publiées sur le site DarkSide leak.

Partager cet article

Nos billets d’humeur les plus lus

74 % des RSSI se disent prêts à payer le prix fort pour travailler avec des fournisseurs qu’ils considèrent comme des influenceurs

L’influence joue un rôle fondamental dans les choix des RSSI : 97 % d'entre eux utilisent…

Cybersécurité : quel rôle pour la presse et le contenu d’influence ?

55 % des professionnels de la cybersécurité consacrent 1 à 3 heures par semaine à la…