Les ransomwares continueront d’être l’une des plus grandes menaces pour les entreprises allemandes en 2024. Le RaaS (Ransomware-as-a-Service) en particulier inspire les auteurs de menaces du monde entier car il leur permet d'utiliser une technologie de pointe sans connaissances techniques approfondies. Voici les quatre familles de ransomwares qui, sur la base des analyses actuelles des menaces, constitueront une menace particulière en 2024.
Le monde des ransomwares est en constante évolution. Une étude de Trend Micro montre que de nombreux groupes de ransomware-as-a-service ne ciblent plus uniquement les « grandes cibles ». Ils se concentrent plutôt sur les petites entreprises, moins bien protégées. Cette tendance inquiétante vers des objectifs plus petits et « plus souples » devrait se poursuivre l’année prochaine. L’analyse actuelle des menaces suggère que les célèbres familles de ransomwares LockBit, BlackCat et Clop, en particulier, resteront très actives en 2024. De plus, de nouveaux venus comme le groupe « Akira » ont le vent en poupe. Ce dernier n'a réussi que récemment à paralyser de nombreuses communes de Rhénanie du Nord-Westphalie avec une attaque de ransomware contre l'informatique du sud-Westphalie et a ainsi été mis sous le feu des projecteurs.
4 groupes de ransomwares particulièrement dangereux
Au premier semestre, LockBit représentait plus d'un quart de toutes les attaques RaaS enregistrées par Trend Micro, tandis que BlackCat et Clop étaient chacun responsables d'environ 10 % de toutes les attaques. Afin que les organisations évitent d'être victimes de ces cybercriminels très actifs à l'avenir, une meilleure compréhension du mode opératoire des acteurs de la menace est nécessaire.
Voici donc un profil de quatre groupes de ransomwares que les entreprises devraient surveiller au cours de la prochaine année :
1. Groupe LockBit
🔎 LockBit est l'un des groupes les plus dangereux - voici l'attaque contre Dena (Image : B2B-C-S).
LockBit est actif depuis 2019 et constitue, selon l'Office fédéral de la sécurité de l'information, « actuellement la plus grande menace de ransomware en Allemagne et dans le monde ». Trend Micro a signalé 1.844 2023 détections de LockBit au cours du premier semestre 2023, ce qui en fait le ransomware le plus détecté. La diversité des versions de logiciels malveillants et des sociétés affiliées qui les utilisent rend difficile la protection des entreprises. La version la plus récente, en circulation depuis janvier XNUMX, s’appelle « Lockbit Green ».
En avril, Trend Micro a révélé comment des acteurs malveillants ont utilisé LockBit comme charge utile malveillante pour exploiter deux vulnérabilités de la solution de gestion d'impression largement utilisée PaperCut. En juin 2023, le gang LockBit a ciblé un fournisseur du plus grand fabricant de puces sous contrat au monde, TSMC, et a accédé aux données de l'entreprise. Les acteurs de LockBit ont exigé une rançon de 70 millions de dollars à TSMC ou ont menacé de publier les données volées. Le groupe a récemment fait la une des journaux avec l'attaque réussie contre le constructeur aéronautique américain Boeing, à la suite de laquelle il a publié des gigaoctets de données prétendument volées.
2. BlackCat alias ALPHV
🔎 BlackCat et son ransomware ALPHV sont responsables de nombreuses attaques - comme chez Meyer & Meyer il y a plusieurs mois (Image : B2B-C-S).
BlackCat (également ALPHV) s'est initialement fait connaître parce qu'il s'agissait de la première famille de ransomwares professionnels développée dans le langage de programmation Rust. Le langage est considéré comme particulièrement sécurisé et prend en charge le traitement parallèle.
Les BlackCat sont surtout connus pour leur technique de triple chantage. Les acteurs du ransomware utilisant la technique de triple extorsion menacent non seulement d'exposer les données exfiltrées, mais combinent également le vol de données avec des attaques par déni de service distribué (DDos) sur l'infrastructure de leurs victimes. Cela augmente considérablement la pression pour payer la rançon.
À la mi-novembre, les criminels ont adopté pour la première fois une nouvelle approche pour faire payer une victime : ils ont déposé une plainte auprès du régulateur financier américain SEC contre le fournisseur de technologie financière qu'ils avaient attaqué, MeridianLink, parce que l'entreprise n'avait pas respecté les son obligation de signaler l’attaque. Aucune conséquence juridique n'est à prévoir pour MeridianLink, puisque l'obligation de déclaration en question n'entre en vigueur que le 15 décembre de cette année. Malheureusement, il faut s'attendre à ce que cette approche crée un précédent et soit observée plus fréquemment à l'avenir afin d'exercer une pression encore plus grande sur les entreprises attaquées.
Outre les chaînes hôtelières MotelOne et MGM Resorts, le gouvernement de l'État de Carinthie et la plateforme en ligne Reddit sont d'autres victimes importantes de BlackCat.
3. Groupe Clop ou Cl0p
Clop, parfois appelé Cl0p, a d'abord gagné en notoriété parce que le groupe a utilisé des techniques d'extorsion à plusieurs niveaux pour compromettre des organisations de haut niveau dans divers secteurs. Plus récemment, l’accent a été mis de plus en plus sur le vol de données et les stratagèmes d’extorsion associés.
Les auteurs de la menace derrière le ransomware affirment avoir compromis 130 organisations en exploitant une vulnérabilité du logiciel de transfert de fichiers GoAnywhere de Fortra. La ville de Toronto serait parmi les victimes de cette attaque massive.
Le groupe Clop était également responsable d'une attaque généralisée de vol de données exploitant une vulnérabilité Zero Day de MOVEit Transfer, une plateforme de transfert de données sécurisée. L'attaque a touché plus de 2.000 62 entreprises et plus de 100 millions de clients. Selon des informations datant de juillet, les criminels ont désormais volé plus de XNUMX millions de dollars lors de cette série d'attaques.
4. Groupe Akira
🔎 Le ransomware Akira a attaqué le département informatique du sud de la Westphalie en octobre et paralysé plus de 70 communes de Rhénanie du Nord-Westphalie (Image : B2B-C-S)
Avec l'attaque dévastatrice contre le prestataire de services Südwestfalen-IT, qui a paralysé plus de 70 communes de Rhénanie du Nord-Westphalie depuis fin octobre, Akira s'est retrouvée sur le devant de la scène dans le secteur de la cybersécurité. La cyberattaque a paralysé l'administration des autorités concernées et certains bureaux de citoyens ont dû être complètement fermés. Les travaux de reconstruction sont en cours, mais les progrès sont lents, c'est pourquoi de nombreux services gouvernementaux sont encore limités dans les communautés touchées.
Les acteurs de la menace derrière ce nouveau nom semblent cependant être des personnalités bien connues du milieu. Les analyses de processus du code malveillant qui circule depuis mars 2023 suggèrent les précédents cerveaux de Conti. Les similitudes avec Conti incluent l'obscurcissement des chaînes, la manière dont les données sont cryptées et l'évitement de certaines extensions de fichiers. Jusqu'à présent, Akira a ciblé principalement des cibles en France (53 pour cent) ou aux États-Unis, avec un accent particulier sur les petites et moyennes entreprises. Avec 508 détections par mois, le taux d’attaque a fortement augmenté en juin 2023. Comme la plupart des autres groupes, Akira a recours à des tactiques de double extorsion, avec des demandes de rançon allant de 200.000 XNUMX dollars à plusieurs millions de dollars.
Conclusion : davantage d'attaques sur des cibles plus fragiles
Les cybercriminels du monde entier se professionnalisent et proposent leurs services sous forme de RaaS à des acteurs malveillants disposant de moins d’expertise technique. Ceci, combiné à un changement de concentration sur les cibles « douces », signifie que les ransomwares continueront d’être l’une des plus grandes menaces économiques pour les moyennes entreprises allemandes l’année prochaine.
Des acteurs bien connus tels que LockBit and Co disposent désormais d’une infrastructure hautement connectée et professionnelle, dont la destruction est encore en suspens. Et même si les groupes de ransomwares sont éliminés, ils peuvent facilement se regrouper quelque temps plus tard, comme le suggèrent les similitudes de Conti dans le code d'Akira. Les entreprises doivent donc bien se préparer et vérifier de toute urgence les vulnérabilités de leur architecture de sécurité actuelle et y apporter des améliorations lorsque cela est possible. Car les acteurs de la menace préparent certainement déjà leurs prochains coups d’État.
Plus sur TrendMicro.com
À propos de Trend Micro En tant que l'un des principaux fournisseurs mondiaux de sécurité informatique, Trend Micro aide à créer un monde sécurisé pour l'échange de données numériques. Avec plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation constante, Trend Micro offre une protection aux entreprises, aux agences gouvernementales et aux consommateurs. Grâce à notre stratégie de sécurité XGen™, nos solutions bénéficient d'une combinaison intergénérationnelle de techniques de défense optimisées pour les environnements de pointe. Les informations sur les menaces en réseau permettent une protection meilleure et plus rapide. Optimisées pour les charges de travail cloud, les terminaux, les e-mails, l'IIoT et les réseaux, nos solutions connectées offrent une visibilité centralisée sur l'ensemble de l'entreprise pour une détection et une réponse plus rapides aux menaces.