La nouvelle stratégie des attaquants : les publications sensibles. Les cybercriminels attaquent de plus en plus des entreprises et des industries sélectionnées dans le cadre de campagnes ciblées. Les données sensibles ne sont plus seulement cryptées, mais il existe des menaces de publication sur Internet. Selon Kaspersky, voici à quoi ressemble le ransomware 2.0.
Les récentes attaques de rançongiciels montrent que les cybercriminels changent de stratégie : ils passent du chiffrement pur à des attaques ciblées avec la menace de publier des données confidentielles si la rançon n'est pas payée. C'est la conclusion à laquelle les experts de Kaspersky arrivent en analysant les deux familles de ransomwares, Ragnar Locker et Egregor.
Nouvelles stratégies d'attaque des rançongiciels
Les compromis avec demandes de rançon, appelés attaques de rançongiciels, sont généralement considérés comme des scénarios d'attaque sérieux. Non seulement ils peuvent perturber les opérations commerciales critiques, mais ils peuvent également entraîner des pertes financières massives et, dans certains cas, même mettre en faillite l'organisation touchée par des amendes et des poursuites judiciaires. On estime que des attaques telles que WannaCry ont causé plus de 4 milliards de dollars de pertes financières. Cependant, les campagnes de rançongiciels plus récentes changent leur mode opératoire : elles menacent d'exposer au public des informations volées sur l'entreprise. Deux représentants bien connus de ce nouveau type de ransomware : Ragnar Locker et Egregor
Comment Ragnar Locker et Egregor procèdent
Ragnar Locker a été découvert en 2019 mais n'a pris de l'importance qu'au premier semestre 2020 lorsque de grandes entreprises ont été ciblées. Les attaques sont très ciblées, chaque activité malveillante étant adaptée à la victime visée. Les informations confidentielles des entreprises qui refusent de payer sont publiées sur la page du mur de la honte des cybercriminels. Si la victime communique avec les attaquants et refuse ensuite de payer, ce chat sera également publié. Les principales cibles sont les entreprises américaines de différents secteurs. En juillet dernier, Ragnar Locker a annoncé avoir rejoint le cartel du rançongiciel Maze. Cela signifie qu'il y a eu depuis un échange d'informations volées et une collaboration concrète entre les deux. Maze est devenu l'une des familles de rançongiciels les plus connues en 2020.
La victime n'a que 72 heures
Egregor a été découvert pour la première fois en septembre dernier. Le malware utilise de nombreuses tactiques identiques et partage également des similitudes de code avec Maze. Il est généralement mis en œuvre en brisant le réseau ; une fois les détails de l'entreprise cible filtrés, la victime dispose de 72 heures pour payer la rançon avant que les informations volées ne soient rendues publiques. Si l'organisation concernée refuse de payer, les attaquants publient le nom et les liens pour télécharger les données confidentielles de l'entreprise sur leur page de fuite.
Le rayon d'attaque d'Egregor est beaucoup plus grand que celui de Ragnar Locker. Les cybercriminels à l'origine de ce ransomware ont ciblé des victimes en Amérique du Nord, en Europe et dans certaines parties de l'APAC.
Ransomware 2.0 en hausse
"Nous assistons à l'essor du ransomware 2.0, ce qui signifie que les attaques sont de plus en plus ciblées et que l'accent n'est plus uniquement mis sur le chiffrement des données sensibles, mais sur le concept de leur publication en ligne", commente Dmitry Bestuzhev, responsable de l'équipe mondiale de recherche et d'analyse. (GRAND) Amérique latine chez Kaspersky. Non seulement cela met en péril la réputation d'une entreprise, mais cela crée également un risque de poursuites si les données publiées enfreignent des réglementations telles que HIPAA (Health Insurance Portability and Accountability Act) ou GDPR. Il y a donc plus en jeu qu'une simple perte financière."
"En conséquence, les organisations ne peuvent plus considérer les menaces de ransomware de manière unidimensionnelle comme un seul type de malware", ajoute Fedor Sinitsyn, chercheur en sécurité chez Kaspersky. « En fait, les rançongiciels ne sont souvent que la dernière étape de la compromission du réseau. Au moment où le rançongiciel s'exécute, l'attaquant a déjà parcouru l'ensemble du réseau, identifié les données sensibles et les a extraites. Il est important que les organisations mettent en œuvre la gamme complète des meilleures pratiques en matière de cybersécurité. La détection précoce des cyberattaques, avant que les attaquants n'atteignent leur cible, peut faire économiser beaucoup d'argent aux entreprises.
Plus d'informations à ce sujet sur SecureList sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/