Sans scrupules, organisés, en réseau : les ransomwares ne sont plus seulement un passe-temps pour les pirates ennuyés, mais une entreprise criminelle avec un chiffre d'affaires et des enjeux élevés. Mais en fin de compte, les cybercriminels ne sont que des personnes qui échouent même à des attaques de ransomware parfaitement planifiées. Sophos cite quelques bugs.
Un ransomware typique est une attaque sophistiquée guidée par l'homme, où les intrus restent souvent sur le réseau pendant plusieurs jours à plusieurs semaines avant de lancer leurs extorsions. Pendant ce temps, ils parcourent le réseau, volent des données, installent de nouveaux outils, suppriment des sauvegardes, etc.
Quand les attaquants font des erreurs sous stress
À tout moment, l'attaque peut être détectée et bloquée, ce qui met beaucoup de stress sur les cybercriminels qui contrôlent l'attaque via le clavier. Ils doivent changer de tactique au milieu du déploiement ou faire une deuxième tentative de déploiement de logiciels malveillants planifiés si le premier échoue. Cette pression peut conduire à des erreurs. Après tout, les cyber-gangsters ne sont que des humains.
L'équipe d'intervention rapide de Sophos s'est moquée à plusieurs reprises des attaques de rançongiciels bâclées lors de ses récentes analyses. Voici le top 5 des bugs liés aux ransomwares :
- Le groupe Avadon, à qui sa victime a demandé de publier ses propres données - on ne pouvait pas restaurer une partie. Le groupe, trop stupide pour comprendre ce que leur victime avait en tête, a donné suite à l'annonce de divulguer les données des victimes, et l'entreprise concernée a repris possession de leurs données.
- Les attaquants du labyrinthequi a volé une grande quantité de données à une entreprise, pour découvrir qu'elles étaient illisibles : déjà cryptées par le rançongiciel DoppelPaymer. Il y a une semaine.
- Les spécialistes Conti cryptant leur propre porte dérobée nouvellement installée. Ils ont installé AnyDesk sur une machine infectée pour sécuriser l'accès à distance, puis ont déployé le ransomware, qui a tout chiffré sur l'appareil. AnyDesk aussi, bien sûr.
- Le gang du mont Locker, qui ne comprenait pas pourquoi une victime refusait de payer après avoir divulgué un échantillon. pourquoi ? Les données publiées appartenaient à une société complètement différente.
- Les attaquantsqui ont laissé derrière eux les fichiers de configuration du serveur FTP qu'ils ont utilisé pour l'exfiltration des données. Cela a permis à la victime de se connecter et de supprimer toutes les données volées.
« Les problèmes de l'adversaire qui ont attiré notre attention témoignent de la densité et de la commercialisation du paysage des ransomwares », a déclaré Peter Mackenzie, responsable de l'équipe de réponse rapide de Sophos. « En raison de cette tendance, vous trouvez différents attaquants ciblant la même victime potentielle. Ajoutez à cela la pression exercée par les logiciels de sécurité et les intervenants en cas d'incident, et il est compréhensible que les attaques deviennent sujettes aux erreurs. »
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.