État de la menace ransomware de la rentrée 2021

Chaque mois, SEKOIA.IO vous propose un éclairage sur l’état de la menace Ransomware avec des analyses sur la victimologie, les nouveaux acteurs émergents et l’évolution des modes opératoires utilisés par les groupes d’attaquants informatiques opérant des ransomware.

Quelques chiffres

Le mois d’août marque une hausse de 23% du nombre d’attaques à double extorsion menées par des groupes ransomware, par rapport au mois précédent. Ainsi, 202 nouvelles victimes ont été détectées par SEKOIA.IO sur plusieurs sites dédiés à la publication de données sensibles. C’est la troisième fois cette année que l’on compte plus de 200 victimes par mois.

Les Etats-Unis sont, de loin, le pays le plus impacté depuis le 1er août dernier, touché par 16 sur 18 groupes ransomware actifs ce mois-ci. Les opérateurs ransomware ont revendiqué 90 attaques contre des victimes basées aux Etats-Unis, ce qui représente 44,6% du nombre total des campagnes d’attaque. 13,3% des sociétés impactées font partie de l’industrie du BTP.

Les pays les plus impactés par les ransomware en août 2021, par nombre croissant d’attaques à double extorsion

D’autre part, huit pays (la Zambie, la Côte d’Ivoire, l’Israël, la Hongrie, le Panama, le Sri Lanka, le Venezuela et le Maroc) apparaissent pour la première fois sur la carte des victimes. La répartition géographique des victimes est à l’heure actuelle la plus dispersée jamais observée. LockBit est le groupe qui enregistre l’expansion la plus rapide en termes de régions affectées.

Voici l’évolution, depuis juin dernier, du Top 5 des victimes apparues sur les sites d’extorsion des ransomware.

Les pays les plus affectés par les attaques ransomware à double extorsion, rapporté au nombre total des victimes rendues publiques, juin – août 2021

Les attaques par ransomware touchent au quotidien des entreprises du monde entier, indépendamment de leur secteur et de leur taille. Les statistiques du mois d’août montrent que les secteurs industriel et financier ont été parmi les plus vulnérables aux ransomware.

Les secteurs d’activités les plus impactés par les ransomware en août 2021, en nombre d’attaques revendiquées

Bien que certains groupes se soient publiquement engagés à ne pas cibler des entités opérant dans le secteur gouvernemental, celui de santé, ou encore les associations à but non lucratif et les écoles, un nombre croissant d’institutions gouvernementales a vu des données internes sensibles être exposées sur le DarkWeb. Six structures étatiques et de nombreux établissements scolaires ont dernièrement été victimes des ransomware. Deux établissements de santé parmi les neuf touchés par les attaquants ce mois-ci sont basés en France. 10,4% des attaques se sont produites contre des entreprises de services du numérique, qui sont les plus susceptibles d’être à l’origine des attaques par supply chain ou des attaques de tiers.

Focus sur les attaquants du mois

Le nombre de groupes d’attaquants actifs sur le mois d’août indiquent 18 Ransomware as a Service (RaaS) et ransomware privés – un chiffre constant depuis plusieurs mois. On constate la position de force du groupe LockBit qui revendique le plus grand nombre d’attaques ce mois-ci, à savoir 76. Ce groupe s’est également montré particulièrement communicant, en accordant une interview pour une chaîne YouTube Russophone. Son intervention met en avant la version 2.0 du ransomware LockBit, ainsi que d’autres outils propres au groupe cybercriminel. Le tout pour faire la promotion du programme d’affiliation respectif.

Se faire connaître est l’une des intentions principales des groupes de ransomware. Nous l’avions déjà évoquées dans l’édition précédente du présent rapport.

Cela a été le cas à plusieurs reprises depuis début août, quand des affiliés de multiples ransomware ont rendu publiques des ressources contenant des informations sur :

• le modus operandi des cartels de ransomware,
• du matériel de formation, ou – le dernier exemple en date – leur code source.

Ces révélations d’informations internes au sein des groupes de ransomware pourraient avoir comme effet de renforcer les capacités techniques des opérateurs, mais aussi et surtout d’encourager l’entrée dans le monde du cybercrime de nouveaux acteurs. Cela ne ferait que les rendre plus efficaces et risque, par la suite, de se traduire par une évolution à la hausse des cyberattaques.

Nombres d’attaques à double extorsion revendiquées des groupes ransomware en août 2021

Le schéma des annonces par Pysa concernant les nouvelles victimes est un autre cas de figure intéressant. Après des mois d’inactivité, le groupe fait son retour à son style, à savoir en annonçant ses nouvelles victimes par dizaines, plusieurs fois ce mois-ci.

L’évolution des campagnes d’attaques est également à mettre en corrélation avec les dynamiques au sein même des groupes RaaS, avec notamment l’émergence de plusieurs groupes.

Début août, le groupe BlackMatter a commencé à publier des annonces sur son blog concernant les attaques en cours, pour rendre publiques leurs données internes en cas de non-paiement de la rançon. Dans le cas de quatre sociétés qu’on a vu apparaître sur le blog du groupe, les données volées n’ont jamais été diffusées. Dans le cas où l’action de retirer une victime du site indiquerait un paiement de la rançon, on fait face à un groupe qui réussit à extorquer un tiers de ses victimes, ou qui arrive à valoriser leurs données sensibles auprès de leurs concurrents ou d’autres acteurs de la menace.

D’autres groupes – tels que MBC ou encore Darkrypt – ont fait leur apparition récemment. Leur évolution est à suivre, les groupes ayant une présence inconstante sur le Dark Web jusqu’à présent. A l’heure actuelle, ils semblent viser des secteurs particuliers et annoncent une victime chacun.

D’un autre côté, nous avons récemment eu la preuve du partage de plusieurs clés de déchiffrement pour des ransomware, comme cela s’est produit avec Ragnarok le 26 août et avec SynACK début août dernier. Alors qu’il venait de subir un chan- gement de marque – de «File Leaks» à «SynACK» à la mi-mai 2021, puis à «El_Cometa» à la fin du mois de juillet 2021 – le groupe a publié les anciennes clés privées de SynACK. La raison est très probablement de se concentrer maintenant sur le développement du nouveau projet «El_Cometa», sous un modèle de RaaS plus sophistiqué.

Site du ransomware SynACK / El_Cometa

De son côté, Ragnarok a publié sa clé de déchiffrement sur son site d’extorsion. Le site a été effacé de tout contenu visuel au profit d’une brève avec un lien vers une archive contenant la clé de déchiffrement. Aucune communication du groupe n’a encore été faite par le groupe mais il est fort probable que Ragnarok ait cessé son activité sous ce nom.

Site Web de Ragnarok

La menace interne prend ampleur

Alors que l’écosystème autour du Ransomware-as-a-Service est connu pour être composé de développeurs, en charge de la création du ransomware, et d’affiliés qui compromettent le système des victimes, une nouvelle menace “interne” semble prendre d’ampleur. Lors du lancement de la version 2.0 de son malware, le groupe de ransomware LockBit a publié un message afin de recruter des employés d’entreprise dans le but de pénétrer le réseau de leur société. Le 12 août 2021, la société Abnormal Security a elle aussi constaté que le groupe ransomware DemonWare tentait de recruter des employés en leur proposant de les payer 1 million de dollars en Bitcoin s’il déployait leur ransomware.

Les opérateurs derrière les ransomware LockBit et DemonWare ajoutent ainsi une nouvelle technique d’accès initial à leur mode opératoire. De manière générale, l’accès au réseau des victimes est souvent obtenu par le biais de données volées à des tiers, de périphériques réseau ou de points de terminaison RDP compromis ou d’une vulnérabilité logicielle. En recrutant des personnes au sein même des entreprises ciblées, l’accès aux réseaux d’entreprise se fait plus rapidement et plus facilement. Par ailleurs, cette démarche montre une volonté de ciblage des victimes, dans une optique de Big Game Hunting.

Le mercredi 11 août, les opérateurs de LockBit ont affirmé sur leur site de leak avoir attaqué la société de conseil Accenture. Ils ont revendiqué l’attaque comme étant le travail d’employés corrompus («insiders»). Nous ne pouvons pas évaluer la véracité de cette information. En revanche, elle apparaît comme un moyen d’exercer une pression supplémentaire sur la victime. D’autant plus que le temps accordé aux victimes pour payer la rançon avant publication des données était relativement court comparé à d’autres attaques menées par l’attaquant (plusieurs heures contre une douzaine de jours). Autre point notable, il semble que LockBit adopte la technique de la triple extorsion, puisqu’il revendique une attaque DDoS dans la version modifiée de ses revendications concernant l’attaque d’Accenture.

Revendication de l’attaque sur Accenture par Lockbit (première version et version éditée ultérieu- rement par le groupe pour faire référence à une attaque DDoS)

D’autres attaquants avaient déjà fait appel à des employés d’entreprises par le passé. Un ressortissant russe a plaidé coupable d’avoir enrôlé un employé de Tesla pour distribuer un malware et voler des données à l’entreprise. Certains membres du forum XSS étaient également à la recherche d’initiés pour déployer un ransomware en mai 2021 :

• Dans cet exemple, «denzdenz777» souhaiterait déployer un ransomware via une clé USB dans différentes entités françaises et allemandes où il aurait des contacts.

Traduit du russe, le post se lit comme suit : «Bonjour à tous,
J’ai des contacts dans des banques, des usines et des sociétés de comptabilité en France et en Allemagne. Je voudrais poser une question : où puis-je trouver un bon ransomware abordable qui peut être distribué par USB ? […]»

• Un autre membre du forum cherchait, en janvier 2021, des informations internes appartenant à certaines banques en Europe.

Des vulnérabilités sont exploités par les ransomware pour gagner un accès initial

L’exploitation de vulnérabilités par les ransomware pour s’introduire dans un système d’information est un phénomène établi et récurrent. Les vulnérabilités PulseSecure et Citrix sont par exemple fréquemment utilisées par les groupes de ransomware. Lors de l’attaque sur Kaseya en juillet 2021, REvil avait quant à lui utilisé une faille de sécurité zero-day pour déployer son ransomware auprès de plusieurs centaines de sociétés se servant du logiciel de gestion Kaseya.

Ce mois-ci, plusieurs nouvelles vulnérabilités ont été intégrées à l’arsenal de certains groupes de ransomware. Celle de PrintNightmare a été employée par les opérateurs de ransomware Magniber et Vice Society dans le cadre de leurs attaques. LockFile a été également reconnu comme utilisant les vulnérabilités PetitPotam et ProxyShell. Alors que les vulnérabilités mentionnées plus haut sont employées par d’autres acteurs de la menace en dehors du ransomware, PetitPotam et ProxyShell sont, pour l’instant, exclusivement utilisées par le ransomware LockFile.

Pour en savoir plus sur la menace Ransomware, voici une sélection des meilleures ressources publiées en Août 2021 :

• How Ransomware Trends Are Changing Cyber Insurance

https://securityintelligence.com/articles/how-ransomware-trends-change-cyber-insurance/

• Analysis of E-mail Domain Preferences by Ransomware Operators

https://www.darkowl.com/blog-content/analysis-of-e-mail-domain-preferences-by-ransomware-operators

• AdvIntel: From Russia With… LockBit Ransomware: Inside Look & Preventive Solutions

https://www.advintel.io/post/from-russia-with-lockbit-ransomware-inside-look-preventive-solutions

References

Abnormal Security: Nigerian Ransomware: An Inside Look at Soliciting Employees to Deploy DemonWare

https://abnormalsecurity.com/blog/nigerian-ransomware-soliciting-employees-demonware/

U.S. DOJ: Russian National Pleads Guilty to Conspiracy to Introduce Malware into a U.S. Company’s Computer Network

https://www.justice.gov/opa/pr/russian-national-pleads-guilty-conspiracy-introduce-malware-us-company-s-computer- network

CrowdStrike:Teaching an Old Dog New Tricks: 2017 Magniber Ransomware Uses PrintNightmare Vulnerability to Infect Victims in South Korea

https://www.crowdstrike.com/blog/magniber-ransomware-caught-using-printnightmare-vulnerability/

Talos: Vice Society leverages PrintNightmare in ransomware attacks

https://blog.talosintelligence.com/2021/08/vice-society-ransomware-printnightmare.html

Vous pouvez lire également sur le blog:

• Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022
• Lapsus$ : quand les enfants jouent dans la cour des grands
• Ransomware : explosion d’attaques à double extorsion
• Ransomware : un retour en force depuis la rentrée
• XDR vs Ransomware
• SEKOIA.IO Ransomware Threat Landscape – second-half 2022