État de la menace ransomware de Mai 2021

Chaque mois, SEKOIA vous propose un éclairage sur l’état de la menace Ransomware avec des analyses sur la victimologie, les nouveaux acteurs émergents et l’évolution des modes opératoires utilisés par les groupes d’attaquants informatiques opérant des ransomware…

Quelques chiffres

Le suivi des sites des groupes de ransomware par SEKOIA.IO a permis de répertorier 217 nouvelles victimes depuis début mai 2021.

Ce mois-ci, le Top 5 des attaquants a fait place à deux acteurs de l’écosystème des ransomware : Prometheus et Xing Locker. Le groupe Prometheus, actif depuis fin mars dernier, a publié les données de 19 entités le dernier mois. Il vise notamment des entreprises localisées en Amérique Centrale et du Sud. Xing Locker a été introduit à la communauté en tant que « nouveau partenaire » du groupe Astro Team News, qui lui-même mène à bien des campagnes au nom de MountLocker.

Top 5 des attaquants les plus actifs en mai 2021

Les secteurs d’activités les plus impactés par les ransomware en mai 2021

L’industrie représente le secteur le plus touché ce mois-ci.

Top 3 des pays où sont localisées les victimes de ransomware en mai 2021

Les Etats-Unis, l’Allemagne et la France en sont les principales victimes.

Comment l’attaque de DarkSide contre Colonial Pipeline a-t-elle bouleversé l’écosystème du cybercrime lié au ransomware ?

Partie intégrante de l’écosystème cyber depuis des décennies, la menace des ransomware est aujourd’hui l’une des principales préoccupations en matière de cybersécurité. La tendance à la hausse des attaques par ransomware ne perd pas de vitesse, et ce, quels que soient le secteur d’activité ou la taille des entités ciblées.

Début mai, l’attaque contre l’opérateur américain d’oléoducs Colonial Pipeline par le groupe DarkSide donnait la tonalité de l’actualité ransomware du mois. En plus de susciter un débat sur la sécurité des infrastructures critiques, cet incident a également généré nombre de bouleversements dans l’écosystème de la cybercriminalité autour des ransomware.

Face à l’attention accrue portée au groupe exploitant le ransomware DarkSide, ses opérateurs ont d’abord nié toute motivation politique dans un communiqué publié le 10 mai sur leur site Web. Ils ont alors déclaré agir dans l’optique de maximiser leur gains financiers.

Communiqué de DarkSide publié sur le site du groupe peu après l’attaque contre Colonial Pipeline.

Deux autres groupes opérant des RaaS (Ransomware-as-a-Service), REvil et Avaddon, ont également annoncé sur certains forums cybercriminels une mise à jour des conditions à prendre en compte par leurs affiliés notamment. Le but étant de permettre à ces opérateurs des RaaS de trier les victimes en amont et d’éviter aux affiliés de cibler une “mauvaise” victime.

La pression venant des autorités s’est avérée forte selon les dires des opérateurs du ransomware DarkSide, qui ont vite déclaré avoir mis fin à leurs activités. Le FBI a pourtant démenti la saisie des sites Web appartenant à DarkSide, tout comme la soustraction des fonds du serveur de paiement. La disparition de ce groupe semble être aussi opportuniste que le choix de ses cibles. Il semble ne pas avoir tenu ses engagements auprès des affiliés. Ceux-ci ont seulement pu réclamer leur part des rançons via un forum qui jusque-là leur servait de plateforme de recrutement.

Publication d’un administrateur du forum XSS confirmant les dédommagements payés aux anciens affiliés de DarkSide.

En réaction à ces changements, un administrateur du forum russophone XSS a publié le 13 mai dernier une annonce interdisant les publications liées aux ransomware, comme la promotion ou la vente des logiciels, ou encore le recrutement des affiliés pour les RaaS. Des annonces similaires ont suivi sur les forums cybercriminels Exploit et RaidForums.

Publication d’un administrateur du forum XSS annonçant l’interdiction de promouvoir les ransomware sur la plateforme.

Cette décision est présentée comme étant définitive et vise à dissocier les plateformes citées de la réputation très négative qu’ont les ransomware, mais elle est surtout destinée à préserver les forums de l’attention accrue de la part des médias et des autorités, afin d’éviter un éventuel démantèlement comme ça a récemment été le cas avec le bannissement de RaidForums en Indonésie et le take down de LMP en France. Les implications politiques de la dernière grande attaque de DarkSide seraient devenues “toxiques et dangereuses” pour ces forums selon leurs administrateurs, qui aujourd’hui insistent sur leur objectif initial qui serait le “partage d’information technique”.

Incomprise par les opérateurs des ransomware, cette virée a eu pour effet de les priver d’un canal de communication qui, pour certains d’entre eux, était le seul moyen de recruter des affiliés. Ceci a notamment été le cas pour Ako, qui semble avoir suspendu ses activités, tout comme le ransomware LockBit, qui ne cesse de réclamer la création d’une rubrique privée destinée au recrutement des affiliés et dont le site Web est actuellement inaccessible. Cela a poussé vers une plus forte asymétrie des projets ransomware : les forts sont devenus plus forts et les faibles plus faibles.

De leur côté, REvil et Avaddon se sont dirigés vers des réseaux de communication privés, leurs activités étant déjà fortement professionnalisées. Cette privatisation, basée sur une coopération avec les partenaires les plus fiables, pourrait rendre le suivi des activités des attaquants plus laborieux et leur analyse moins réactive face à l’évolution de la menace.

Une publication attribuée au groupe REvil annonçant le retrait du forum XSS et le lancement d’un programme privé.

“Les affiliés de tous les RaaS suspendus vont chez nous maintenant”, a déclaré REvil en réaction à une publication sur un forum cybercriminel. Le constat d’une forte mobilité entre différents groupes est déjà connu, en revanche, plusieurs nouveaux ransomware ont vu le jour Grief, Noname, N3TW0RM et Xing Locker, pour n’en citer que quelques-uns, ont fait leur apparition et commencé à extorquer leurs victimes depuis début avril 2021. Ces nouveaux arrivants présentent souvent des connexions avec des projets déjà existants, ce qui confirme la mise en place de partenariats fidèles entre différents acteurs de la menace.

L’écosystème ransomware se réinvente également via l’adoption, dernièrement, de nouvelles techniques d’extorsion. Les attaques DDoS sont devenues récurrentes dans les opérations menées par Avaddon. L’utilisation de cette technique d’attaque n’est pas nouvelle, mais elle semble gagner en popularité auprès des opérateurs de ransomware.

Les méthodes de double extorsion semblent pourtant céder la place à la pratique de la triple extorsion, avec des membres du groupe Cl0p à contacter les partenaires de leurs victimes par courriel, suite aux attaques.

Très vite après l’attaque contre Colonial Pipeline, les opérateurs du ransomware Babuk annonçaient la clôture de leur programme d’affiliation au profit d’un nouveau modèle de fonctionnement : l’extorsion sans chiffrement. Une nouvelle plateforme dédiée à la vente des données volées et ouvertes à tous les attaquants intéressés vient d’être lancée après un effort de rebranding de l’ancien site Web de Babuk et une première victime y est citée le 31 mai dernier.

Capture d’écran de l’interface de la plateforme Payload.bin nouvellement créée par les anciens opérateurs du ransomware DarkSide.

On assiste en ce moment à une forte consolidation des efforts d’extorsion de la part des acteurs de la menace. Cela va de pair avec la création de plus en plus de plateformes comme Marketo, SynACK ou Dark Leak Market, qui n’existent que pour vendre des données volées mais qui pourraient vite devenir une menace majeure si elle permet de générer plus de paiements de rançon que la perte de fichiers suite à leur chiffrement.

Pour en savoir plus sur la menace Ransomware, voici une sélection des meilleures ressources publiées en mai 2021 :

AMRAE : étude sur la couverture assurantielle du risque cyber en France

https://static-amrae-4m43.seitosei-presse.com/documents/pdf/AMRAE/LUMIERE_CYBERASSURANCE_WEB_Def3.pdf

Avaddon : un butin d’au moins un million de dollars depuis début mai

https://www.lemagit.fr/actualites/252501492/Avaddon-un-butin-dau-moins-un-million-de-dollars-depuis-debut- mai?amp=1

Zeppelin ransomware comes back to life with updated versions

https://www.bleepingcomputer.com/news/security/zeppelin-ransomware-comes-back-to-life-with-updated- versions/

Analysis of Infrastructure used by DarkSide Affiliates

https://community.riskiq.com/article/fdf74f23

Meet Lorenz — A new ransomware gang targeting the enterprise

https://www.bleepingcomputer.com/news/security/meet-lorenz-a-new-ransomware-gang-targeting-the-enterprise/

Ransomware 2021: Critical Mid-year Update [REPORT PREVIEW]

https://blog.chainalysis.com/reports/ransomware-update-may-2021

Conti Ransomware

https://thedfirreport.com/2021/05/12/conti-ransomware/

Insurer AXA Halts Ransomware Crime Reimbursement in France

https://www.securityweek.com/insurer-axa-halts-ransomware-crime-reimbursement-france

Retrouvez toutes nos analyses ainsi que nos indicateurs de compromission (IOCs) et règles de détection dans notre produit SEKOIA.IO pour anticiper, détecter et répondre à la menace Ransomware.

Sur le blog, vous pouvez lire aussi :

• Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022
• XDR vs Ransomware
• Ransomware : un retour en force depuis la rentrée
• État de la menace ransomware de la rentrée 2021
• État de la menace ransomware de juillet 2021
• Amélioration de la détection des menaces avec Sigma correlation
• SEKOIA.IO Ransomware Threat Landscape – second-half 2022