Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022

SEKOIA.IO présente son paysage des menaces Ransomware pour le premier semestre 2022, avec les points clés suivants :

• Victimologie des ransomware – évolutions récentes
• Un premier semestre chargé – plusieurs nouveaux arrivants dans le domaine des ransomware
• Cross -platform ransomware fonctionnalités tendance
• Nouvelles techniques d’extorsion
• Groupes interdépendants menant des campagnes de ransomware
• Activités des groupes de menaces de ransomware sur le Dark Web
• Vers une extorsion sans chiffrement ?

Victimologie des ransomware – évolutions

SEKOIA.IO a identifié 1 350 attaques de ransomware divulguées publiquement au S1 2022, contre 1067 à la même période en 2021. Cette augmentation de 26,5 % n’est cependant pas uniforme sur toute la période, comme le montre le graphique ci-dessous.

SEKOIA.IO a signalé un nombre croissant d’attaques de ransomware depuis le début de l’année jusqu’à fin avril 2022. Cela semble refléter la croissance naturelle de la menace, suivant une courbe majoritairement ascendante du nombre observé d’attaques de ransomware, avec activité réduite pendant les périodes de vacances deux fois par an. Une exception aurait été notée l’année dernière, où la baisse vers mars 2021 pourrait avoir été entraînée par certaines des campagnes d’application de la loi précédentes.

Selon le directeur de la cybersécurité à la National Security Agency (NSA), la diminution des attaques observées en mai et juin 2022 pourrait s’expliquer par les sanctions contre la Russie suite à son invasion de l’Ukraine.
Des sanctions contribueraient à réduire le nombre d’attaques car « les sanctions contre la Russie rendent plus difficile pour les cybercriminels d’organiser des attaques et de recevoir des rançons ». Celle-ci les oblige à modifier leurs TTP et à réduire temporairement le rythme de leurs campagnes malveillantes. 

Étant donné que la déclaration du directeur de la cybersécurité de la NSA fait référence aux sanctions contre la Russie, il est probable que cette interprétation de la diminution de l’activité des ransomwares ne soit valable que pour les opérations de ransomware exécutées depuis la Russie.

Il y a probablement d’autres raisons à ces variations – situationnelles ou opportunistes. Par exemple, la diminution survenue entre mai et juin 2022 pourrait être due au fait qu’un seul sous-ensemble d’attaques est divulgué par les groupes de ransomware. Cela pourrait entraîner un écart de renseignement important entre la date de l’attaque réelle et la date à laquelle elle est devenue publique. Par exemple, le groupe Black Basta a annoncé plus d’une vingtaine de victimes début juillet. 

Compte tenu de l’écart de temps possible entre les deux dates (chiffrement et début de la campagne d’extorsion), qui est différent pour chaque opération de ransomware, il est probable que les données de ces victimes aient été chiffrées plus tôt. Par conséquent, cette baisse du nombre d’attaques depuis mai 2022 est à relativiser.

Sur les 32 groupes de rançongiciels actifs identifiés qui ont revendiqué des attaques au cours du premier semestre 2022, LockBit était le plus prolifique. Avec au moins 439 victimes signalées, il était responsable de 32,52% des campagnes connues, tandis que le trio LockBit – Conti – ALPHV avait enregistré plus de la moitié des victimes (54,67%). 

Les dernières victimes connues de Conti datent de fin mai 2022. Alors que le groupe a supprimé son infrastructure d’attaque et que ses membres ont migré vers d’autres projets de ransomware et/ou d’extorsion, tels que BlackCat, AvosLocker, Hive, HelloKitty.

SEKOIA.IO évalue qu’il existe une forte probabilité que les anciens affiliés de Conti reprennent leurs activités malveillantes. Cela poussera probablement à nouveau la trajectoire des attaques comptabilisées vers le haut à moyen terme.

Ce premier semestre 2022 a été marqué par des événements majeurs liés à l’activité des ransomware. 

Par exemple, le 11 mai, le Costa Rica a déclaré une d’urgence nationale à la suite d’une attaque de rançongiciel. Pendant un mois, celle-ci a eu un impact sur le déroulement des services relevant de l’administration. Cette campagne, revendiquée et attribuée à Conti, fut la première à provoquer une telle réaction de la part d’un pays. Une autre victime à avoir subi un impact majeur, bien que n’ayant pas la même portée, a été le Lincoln College dans l’Illinois, aux États-Unis – la première université à fermer suite à une attaque de ransomware. S’il n’est pas la première entité privée à arrêter ses activités suite à une cyberattaque, il s’agit d’une première dans le secteur de l’éducation, déjà fragilisé par un an et demi de pandémie de Covid.

Plus généralement, l’industrie manufacturière a été de loin le secteur le plus touché par les récentes attaques de ransomware. Les entreprises de cette verticale doivent gérer plusieurs systèmes, y compris les réseaux opérationnels et de technologie de l’information et les équipements connexes. En multipliant la complexité de la gestion des correctifs et les opportunités de mauvaises configurations, il élargit leur exposition aux cybermenaces, offrant aux attaquants davantage de possibilités d’intrusion. 

Une autre explication donnée par IBM pour ce nombre plus élevé d’attaques de ransomware dans ce secteur pourrait être que la perturbation de la fabrication des biens aura un impact sur l’ensemble de la chaîne de leurs clients, ajoutant une pression pour résoudre rapidement le problème en payant la rançon plutôt que de passer par une récupération potentiellement longue.

Les secteurs de la technologie et de la finance complètent le classement des secteurs les plus touchés par les ransomware en 2022 jusqu’à présent. Alors que de plus en plus d’acteurs ajoutent l’extorsion à leurs TTP, perdre l’avantage innovant ou la confiance des clients dans leur capacité à garder leurs données privées peut entraîner des dommages importants à la réputation et aux finances.

Au moins 88 pays différents ont été touchés dans le monde, avec les taux les plus élevés en Amérique du Nord (dont 37 % des victimes divulguées situées aux États-Unis) et en Europe.

Nouveau constat que nous avons pu faire, la guerre en Ukraine a mis fin au pseudo-laxisme des entités russes envers les opérateurs de rançongiciels de chasse au gros gibier. Plusieurs attaques de rançongiciels contre des infrastructures critiques russes ont été observées début 2022. Certaines d’entre elles n’ont pas exigé de rançon mais semblaient viser à « simplement » compromettre les activités opérationnelles des victimes, comme l’attaque contre Miratorg (premier producteur et fournisseur de viande de Russie) sur 17 mars 2022. L’incident a touché au moins 18 entreprises, toutes filiales de Miratorg Holding. Selon une agence de surveillance russe, puisque la victime n’a reçu aucune note de rançon, l’objectif derrière l’attaque semble être un sabotage et non financier. « Il est probable que cet incident reflète une « guerre totale » informationnelle et économique lancée contre la Russie par la coalition occidentale », a indiqué l’agence dans un communiqué qui a depuis été retiré de son site internet. Cela fait référence à la guerre entre la Russie et l’Ukraine qui a éclaté le 24 février, aggravant considérablement les relations économiques et diplomatiques de la Russie avec l’Occident.

Un premier semestre chargé – de nombreux nouveaux arrivants dans le domaine des ransomware

Le premier semestre 2022 n’est pas étranger à l’apparition de nouveaux groupes de ransomware. Pas moins de 20 nouveaux groupes de rançongiciels ont émergé entre janvier et juin 2022.

Quelques-uns d’entre eux commencent seulement à recruter des affiliés sur divers forums de cybercriminalité et n’ont pas encore de victimes connues publiquement, comme Vandili, RTM et VulcanRansomTeam.

Certains groupes de ransomware sont soupçonnés d’être des rebrands tels que Axxes (de Midas, selon Cloudsek) et Pandora (de Rook, selon Cyble), ou bien des variantes plus récentes de familles de ransomware existantes telles que YourCyanide, Yashma et Onyx. Le relativement nouveau Black Basta a également soulevé des questions parmi les analystes des menaces sur ses liens potentiels avec un autre gang de rançongiciels de premier plan, à savoir Conti. Soit dit en passant, le groupe utilise une stratégie particulière lorsqu’il annonce une victime : les opérateurs de Black Basta doivent divulguer les adresses IP de la victime, les noms d’hôte, les versions des hôtes compromis, ainsi qu’une liste de noms d’utilisateur et de mots de passe qu’ils auraient pu utiliser.

Plusieurs d’entre eux sont des versions modifiées du code source précédemment publié (le rançongiciel NB65 serait une version modifiée de Conti, et Nokoyawa présente des similitudes de code avec les rançongiciels Babuk et Karma).

Les groupes de rançongiciels nouvellement créés essaient également de nouvelles façons de faire pression sur les victimes pour qu’elles paient : par exemple, LokiLocker a ajouté à ses techniques la destruction du MBR (Master Boot Record) si les victimes ne paient pas. Ce faisant, les machines ne pourront pas démarrer au prochain démarrage. D’autre part, le rançongiciel GoodWill n’essaie même pas d’être payé. Il oblige ses victimes à agir pour des causes sociales en se filmant, en s’enregistrant, en prenant des photos et en les publiant sur les réseaux sociaux avec une description dédiée pour recevoir la clé de déchiffrement.

Tendance des fonctionnalités multiplateformes

La transition vers des systèmes d’exploitation ciblés autres que Microsoft Windows s’est accélérée en 2022 et pourrait être considérée comme une tendance confirmée qui a déjà commencé les années précédentes.

Outre Microsoft Windows, ce sont les systèmes d’exploitation basés sur Linux et en particulier le système VMware ESXi qui sont de plus en plus ciblés par les acteurs des ransomwares. Le groupe RansomEXX, par exemple, a acquis cette capacité dès 2020. Certains autres groupes tels que REvil, Conti, Black Basta, LockBit, The Hive, ALPHV développé le support Linux puis plus récemment les pré-requis spécifiques pour VMware ESXi. Les nouveaux groupes 2022 tels que Cheerscrypt se concentrent uniquement sur l’environnement Linux.

Lors d’une attaque, les groupes de rançongiciels tentent de se concentrer sur les informations les plus précieuses d’une entreprise donnée : ces données sont souvent centralisées sur des serveurs de fichiers, des bases de données et des serveurs d’applications. Certains d’entre eux étaient accessibles via le cryptage des postes de travail et leurs connexions liées au réseau, mais cela pourrait être considéré comme une manière très inefficace de le faire. VMWare ESXi est largement utilisé dans les environnements d’entreprise pour virtualiser ces serveurs, et est donc devenu l’une des cibles les plus précieuses pour ces groupes visant à voler ou chiffrer les données.

A côté de ces systèmes orientés virtualisés utilisés dans les grandes organisations, certains groupes ciblent des entreprises plus moyennes (voire des particuliers à effet de grande échelle) où le Network Attached Storage (NAS) est l’équipement central pour l’information. Qlocker exploite une vulnérabilité sur les appareils QNAP depuis 2021, et eCh0raix / Qnapcrypt cible également les équipements QNAP et Synology.

Une autre évolution intéressante avec ces malwares ransomware (que l’on pourrait également observer avec d’autres catégories de malwares), pour les versions Linux mais pas seulement, est le changement de langages de programmation. Généralement développés en C ou C++, les rançongiciels récents sont codés à l’aide des langages Go ou Rust (ALPHV, The Hive). Certains avantages de ces langages sont leur facilité d’utilisation pour créer des plateformes multiplateformes versions, leurs bonnes performances et la gestion sécurisée de la mémoire. Du point de vue de la protection du code, les capacités des défenseurs (en termes de rétro-ingénierie) sont actuellement plus limitées et pourraient augmenter le temps consacré à l’analyse de ce code et à la compréhension des mécanismes de chiffrement.

SEKOIA.IO confirme la tendance observée des groupes de rançongiciels essayant de tirer parti de toutes les technologies augmentant et protégeant leur impact d’attaque où qu’il soit pour une petite ou une grande entreprise.

Nouvelles techniques d’extorsion

Les groupes de rançongiciels améliorent constamment leurs techniques pour ajouter de la pression et obliger la victime à payer la rançon.

ALPHV/BlackCat ont commencé à publier les données qu’ils ont volées à une entreprise non seulement sur leur site Web de fuite d’oignons, mais également sur un site Web spécialement conçu sur le clearweb, avec un domaine nommé d’après le nom de la victime. Le ransomware comprenait un formulaire consultable sur le site Web, permettant aux employés ou aux clients de rechercher directement s’ils apparaissent dans la fuite. Par conséquent, utiliser le nom de l’entreprise comme domaine et rendre le site Web facilement accessible sur Internet sans nécessiter de TOR permettrait à quiconque (employé, clients, concurrent) d’obtenir les informations, ce qui peut être un moyen très efficace d’ajouter de la pression sur les victimes.

Industrial Spy a plutôt choisi de défigurer le site Web de l’entreprise de sa victime, affichant ainsi une note de rançon dans la page d’accueil du site Web. Ce type de défiguration aurait des conséquences évidentes sur l’activité et la réputation de l’entreprise.

D’autres techniques observées visant à faire pression sur l’entreprise de la victime consistent à contacter directement ses clients impactés, en leur téléphonant ou en leur envoyant un e-mail, ne laissant ainsi aucune chance aux structures ou individus impactés de rester dans l’ignorance de la fuite.

Cela souligne également que les victimes doivent gérer les crises dans une transparence absolue tout en assurant une exécution rapide.

En attendant, d’autres groupes, comme Lorenz et Cheerscrypt, suivent une approche plus subtile consistant à cacher le nom de la victime sur leur site de fuite de données. Cette stratégie vise à faire gagner du temps à la victime afin qu’elle puisse sauver sa réputation avant qu’elle ne soit divulguée.

Groupes State-nexus menant des campagnes de ransomware

Depuis 2020, nous avons observé des activités malveillantes associées à des groupes de menaces State-nexus incorporant de plus en plus de ransomwares dans leur boîte à outils. Au premier semestre 2022, des groupes de liens avec les États ont utilisé des rançongiciels dans leurs campagnes, nous rappelant que les acteurs traditionnels de la cybercriminalité ne sont pas les seuls à en tirer parti.

Par exemple, le groupe Bronze Starlight alias Dev-0401 China-nexus APT, dont la principale motivation serait le vol de propriété intellectuelle ou l’espionnage, a récemment ajouté de nouveaux ransomware à son arsenal. Le ransomware déployé durant leurs campagnes pourrait être la cerise sur le gâteau, perturbant les systèmes informatiques de leurs victimes, masquant le vol de données sous forme d’extorsion et gagnant de l’argent.

Au fil du temps, Dev-0401 a été vu déployer Lockfile, Pandora, NightSky, AtomSilo et Rook ransomware après Cobalt Strike a été utilisé sur les hôtes compromis. Le HuiLoader a chargé les balises Cobalt Strike sur les hôtes compromis. Chaque ransomware n’a été utilisé que sur une courte période, accumulant peu de cibles. Le dernier ransomware utilisé par le groupe – Pandora – a fait état d’au moins 7 victimes sur son Data Leak Site en mars 2022.

D’un autre côté, un groupe iranien APT que les chercheurs de Secureworks appellent COBALT MIRAGE a été vu en train de mener des rançongiciels opportunistes à la fois pour le gain financier et la collecte de renseignements.

Les groupes parrainés par l’État peuvent déguiser leurs campagnes d’exfiltration de données et d’espionnage en opérations de ransomware, exfiltrant ainsi les données avant le chiffrement afin de menacer leurs victimes d’une double extorsion.

Nous pouvons nous attendre à ce que les groupes étatiques continuent de suivre les modèles et les tendances émergents à l’avenir, en essayant de se cacher dans les masses aussi furtivement que possible.

Activités des ransomware sur le dark web

Les forums et marchés de la cybercriminalité, hébergés à la fois sur Internet et sur le dark web, sont invariablement un refuge pour les cybercriminels et autres acteurs de la menace. En ce qui concerne les ransomware, les développeurs se sont traditionnellement tournés vers ces plates-formes pour recruter des affiliés à leur programme RaaS (Ransomware-as-a-Service) . Ces plates-formes de cybercriminalité servent également à vendre ou à louer des boîtes à outils de rançongiciels, à partager des informations, à demander de l’aide, à donner des avis aux utilisateurs, etc. Plusieurs groupes de rançongiciels opèrent en collaboration avec d’autres acteurs de la menace (à la fois des individus et des groupes organisés) tels que les IAB (Initial Access Brokers), les affiliés « pentesters » rémunérés et autres.

Les familles de ransomware vendant du RaaS à d’autres acteurs de la menace

Les représentants de RaaS à la recherche de partenaires pour leurs programmes de ransomware sur le Dark Web sont une pratique assez courante et largement partagée.

Cependant, il y a eu un tournant qui a poussé les groupes de rançongiciels à suspendre cette pratique et à rechercher des solutions alternatives. Il s’agissait du bannissement à la mi-2021 des activités liées aux ransomware sur plusieurs forums de piratage de premier plan qui hébergeaient certains des plus grands gangs de ransomware. Le changement s’est produit en raison de l’attention croissante et indésirable des médias et des forces de l’ordre sur l’activité des rançongiciels à la suite de l’attaque du rançongiciel Colonial Pipeline en mai 2021, et parce que les différents administrateurs du forum s’inquiétaient des suivis potentiels les atteignant également (comme des mesures d’application de la loi).

Et pourtant, le secteur des ransomware a renoué avec cette technique en 2022 et recrute à nouveau activement des membres de la manière la plus élégante – en lançant et en annonçant des programmes d’affiliation sur des forums cybercriminels.

Un forum très représentatif de ce type est en fait RAMP (Russian Anonymous Marketplace) – fondé en 2021 en tant que forum dédié à l’activité des ransomware et comptant environ 2500 membres en juillet 2022. Dans sa section intitulée « Partners Program RaaS », au moins 10 projets de ransomware ont été annoncés depuis début 2022, afin de recruter des membres, notamment Monster, RTM, Luna, Avos Locker et d’autres groupes RaaS privés.

Généralement, ces publications de forum décrivent les fonctionnalités du ransomware, ainsi que les termes et conditions du programme d’affiliation (en particulier la répartition des revenus entre les affiliés et les développeurs de ransomware, qui conservent entre 15 et 30%). Par la suite, les discussions se poursuivent via des messages privés sur le forum ou via Tox – une plateforme de messagerie instantanée largement préférée parmi les acteurs des ransomware ces derniers temps.

Parmi les différents rançongiciels promus sur RAMP depuis début 2022, la plupart sont interdits de déploiement dans les pays de la Communauté des États indépendants (CEI) et sont destinés uniquement aux affiliés russophones (MONSTER, RTM, Conti, Luna et les autres).

Groupes de rançongiciels à la recherche d’un accès

Les groupes de rançongiciels se sont tournés vers d’autres supports tels que :

• des sites spécialement conçus pour leur projet (avec beaucoup moins de visibilité),
• Ils ont également renforcé la coopération avec d’autres acteurs spécialisés, renforçant ainsi la professionnalisation du monde de la cybercriminalité. 

Le comportement des gangs de rançongiciels sur les forums de cybercriminalité a ainsi évolué vers des formes de coopérations plus décentralisées.

En 2022, les groupes de rançongiciels sont plus que jamais en étroite collaboration avec les Initial Access Brokers (IAB). Plusieurs forums de la cybercriminalité, les plus fréquentés par les acteurs de la menace, constituent désormais un environnement très attractif pour faire correspondre l’offre à la demande sur le marché de l’accès initial, sur lequel les acteurs du ransomware agissent en tant qu’acheteurs d’accès.

Quake3 présente également le membre du forum « yanluowang » comme un acteur menaçant spécialisé dans l’achat d’accès pour ensuite déployer des rançongiciels sur des réseaux compromis. En effet, Yanluowang a été vu en train d’opérer des attaques ciblées de ransomware depuis au moins août 2021.

L’interaction entre les lecteurs de ransomware et les Initial Access Brokers est généralement initiée par le biais de publications sur des forums de cybercriminalité. Leurs auteurs sont souvent des acteurs de ransomware qui lancent des campagnes pour acquérir un accès en fixant un prix par accès, puis en l’utilisant en interne pour déployer des ransomware. Une deuxième option consiste à embaucher des IAB en tant que membres de l’équipe de ransomware (soit pour un salaire mensuel fixe, soit pour une part négociée des revenus du groupe).

Les groupes de rançongiciels à la recherche de « pentesters »

Les acteurs de la menace identifiés par les groupes de rançongiciels comme des « pentesters » sont en effet, des partenaires affiliés réalisant une phase spécifique de l’attaque.

Ils sont généralement en charge des déplacements latéraux et de l’élévation des privilèges au sein du système d’information de la victime. La finalité recherchée de l’activité des pentesters serait d’ouvrir un moyen d’implémenter un ransomware, qui chiffrerait et exfiltrerait les données de la victime.

Ces acteurs interviennent après que l’accès initial à une machine victime a déjà été atteint (le plus souvent via les IAB, comme expliqué ci-dessus).

Sur plusieurs forums du Dark Web sur la cybercriminalité, nous observons un nombre croissant de publications liées au « pentesting ». Il s’agit des acteurs de la menace (à la fois des individus et des organisations) fournissant leurs services, ainsi que des groupes de menaces visant à les embaucher. Nous attendons des «pentesters» qu’ils deviennent encore plus présents sur les forums et places de marché clandestins et qu’ils soient un point de liaison entre les IAB et les acteurs du ransomware.

Une évolution vers l’extorsion sans cryptage

SEKOIA.IO a récemment observé une augmentation des groupes menant des attaques de vol de données sans crypter les systèmes avec des ransomware. Ils demandent ensuite, aux victimes de payer des rançons pour empêcher que leurs données ne soient vendues et/ou divulguées sur des places de marché spécialisées et/ou sites de fuite.

Contrairement à la technique de double extorsion à fort effet de levier, les acteurs s’appuyant sur l’extorsion pour la fuite de données uniquement (plutôt que pour le cryptage des données) s’attendent à ce que le vol de données soit une raison suffisante pour inciter les victimes à payer, éloignant ainsi les acteurs de la menace des problèmes classiques liés au développement de rançongiciels.

En fait, de nombreuses raisons peuvent inciter les pirates à adopter cette méthode :

• De plus en plus d’entreprises se rendent compte que la sauvegarde des données est absolument essentielle. Par conséquent, le chiffrement de ces systèmes peut désormais avoir moins d’impact. En outre, c’est pourquoi les acteurs de la menace des ransomware ont commencé en 2019, à exfiltrer les données pour ajouter plus de pression.
• Développer son propre rançongiciel demande des ressources humaines et techniques spécifiques. Les développeurs et les spécialistes du chiffrement doivent rendre le processus de chiffrement efficace mais aussi le plus rapide possible. Cependant, le RD prend du temps, de l’énergie et de l’argent.
• Assurer un cryptage rapide et efficace ne garantit pas que le décryptage sera efficace et que les systèmes reviendront à un état initial. En effet, les victimes ont signalé à plusieurs reprises avoir perdu ou vu leurs données être endommagées après avoir payé la rançon et appliqué la clé de déchiffrement. Par conséquent, les groupes de rançongiciels doivent également investir des ressources pour garantir un mécanisme de décryptage approprié, car nombre d’entre eux apprécient l’importance de leur réputation mondiale, car les victimes sont plus disposées à payer si elles savent que le groupe est utilisé pour décrypter correctement les systèmes de leur victime.
• Le système RaaS est parfois trop énorme avec plusieurs acteurs agissant sous la même bannière de ransomware. Dans certains cas, cela a conduit les groupes à perdre de vue les opérations menées ou en cours. Ainsi, certaines victimes ont été cryptées et rançonnées plusieurs fois par le même acteur menaçant, ce qui ne joue pas en faveur de leur soi-disant réputation.
• Pour des raisons techniques et des défis, certaines opérations de ransomware ont réussi à exfiltrer les données, tandis que le processus de cryptage ne s’est pas déroulé comme prévu. Cela a mis en évidence leur besoin de capitaliser sur le vol de données avec une autre façon de demander une rançon.
• Le vol de données et sa divulgation publique est un problème sensible et sérieux auquel les victimes sont confrontées, et les acteurs de la menace trouvent de plus en plus de moyens d’ajouter de la pression pour tirer parti de cette préoccupation (par exemple en téléphonant/en envoyant des e-mails aux clients de la victime, en défigurant les sites Web, etc.).

Par conséquent, l’exfiltration des données peut garantir aux acteurs de la menace le même profit que l’exfiltration et le chiffrement des données, tout en éliminant les problèmes de chiffrement.

Ceux qui ont fait ce choix ont tendance à laisser de côté les sites Web de piratage et de fuite au profit de marchés que les acteurs de la menace peuvent mettre en place spécifiquement pour leurs groupes au lieu de vendre les données volées sur des marchés célèbres et couramment utilisés.

Par exemple, Industrial Spy est l’un des groupes émergents de la première moitié de l’année, se concentrant principalement sur le vol de données (une attaque de ransomware a cependant été signalée). Les données volées sont classées selon l’intérêt des acheteurs : lors de la publicité pour la vente des données d’une entreprise, elles sont classées pendant sept jours en prime. L’acteur menaçant dit s’être engagé à ne le vendre qu’à un seul acheteur durant cette période. Alors que cette condition n’est pas remplie au bout de sept jours. Cette stratégie pourrait faire pression/encourager les victimes à acheter leurs propres données dans ce court laps de temps pour s’assurer que leurs données leur sont exclusivement revendues. Cela peut également attirer toute l’attention d’un concurrent intéressé à l’acheter au lieu de le laisser tomber entre les mains d’autres acteurs de l’industrie.

Globalement, la cybercriminalité dans son ensemble multiplie les actions pour se renouveler en mettant en place de nouvelles tactiques et techniques pour tirer un meilleur profit de ses opérations. Ainsi, chaque année s’accompagne d’une nouvelle tendance que les défenseurs doivent surveiller de près pour assurer une meilleure protection.

Lire aussi :

• XDR vs Ransomware
• Traffers : une plongée dans l’écosystème des voleurs d’informations
• Deux parfums de XDR
• LuckyMouse utilise une application de messagerie pour cibler MacOS
• Élections anticipées italiennes : de possibles opérations d’influence cyber venant de Russie ?
• Comment nous avons rendu les déploiements plus sûrs à SEKOIA.IO ?
• Un aperçu détaillé des opérations de Conti – Première partie
• L’histoire d’un constructeur de ransomware : de Thanos à Spook et au-delà (Partie 1)
• L’histoire d’un constructeur de ransomware : de Thanos à Spook et au-delà (Partie 2)
• Une guerre sur plusieurs fronts – le paysage turbulent de la cybercriminalité
• État de la menace ransomware de la rentrée 2021
• État de la menace ransomware de Juin 2021
• Enrichissez votre Graylog avec SEKOIA.IO
• Focus sur les cyberattaques ayant impacté les collectivités territoriales françaises en 2020
• Invasion de l’Ukraine – quelles implications dans le cyberespace ?
• Migrer votre sécurité dans le cloud ?
• Ransomware : un retour en force depuis la rentrée
• Ransomware : explosion d’attaques à double extorsion
• SIGMA, design et MITRE ATT&CK… nouveautés de la plateforme XDR et CTI
• Amélioration de la détection des menaces avec Sigma correlation
• SEKOIA.IO Ransomware Threat Landscape – second-half 2022