Les rançongiciels déversent des fortunes sur les comptes de crypto-monnaie des cybercriminels. Mais où finit tout le charbon ? Une vie dans le luxe ? Les recherches de Sophos montrent que beaucoup d'argent est investi dans de nouvelles attaques. Quiconque paie finance également la prochaine attaque contre lui-même.
Où vont réellement les millions de Bitcoins & Co. que les victimes d'attaques de rançongiciels paient à leurs maîtres-chanteurs dans l'hypothèse qu'ils reprendront possession de leurs données confisquées ? Au moins une fois, il y a eu une intuition : lors d'une arrestation en Ukraine de suspects liés au groupe de rançongiciels Clop, une impressionnante collection d'étiquettes de voiture a été collectée comme preuve et de nombreuses voitures de luxe trouvées sur des dépanneuses ont été chargées et confisquées.
Réinvestir pour de nouvelles attaques
Mais, comme toute bonne entreprise, les cybercriminels réinvestissent également un certain pourcentage des bénéfices dans les "opérations". Et l'expansion du commerce de la cybercriminalité en général est également un modèle commercial populaire pour utiliser les dollars gagnés. Il n'est donc pas surprenant que l'année dernière, le groupe REvil ait fait don d'un million de dollars de bitcoins à un forum sur la cybercriminalité en guise de paiement initial pour les services rendus. Cependant, cette action servait davantage à prouver aux membres du forum que l'argent offert était plus qu'une simple promesse : c'était déjà un investissement obligatoire à consacrer aux "candidats" retenus.
RAT, LPE, RCE - le jargon de la cybercriminalité sous la loupe
Les offres sur ce marché de la cybercriminalité semblent énigmatiques, allant du logiciel sans fichier pour Windows 10 jusqu'à 150.000 XNUMX $ pour la solution d'origine, aux exploits zero-day, y compris RCE avec un budget de plusieurs millions de dollars, à des offres comme "J'achèterai la plupart des RAT propres . » La liste des termes techniques sur les forums de cybercriminalité est longue, les plus importants sont brièvement décrits ci-dessous :
RAT = cheval de Troie d'accès à distance
Aussi connu sous le nom de bots ou de zombies. Les RAT ouvrent des failles d'accès non autorisées qui permettent aux escrocs de prendre le contrôle du PC. Certains RAT fournissent des commandes d'accès à distance explicites qui activent l'enregistrement de frappe, prennent des captures d'écran, enregistrent de l'audio et de la vidéo ou copient des fichiers sensibles.
Mais presque tous les RATS ont également des fonctionnalités qui peuvent automatiquement mettre à jour les RAT eux-mêmes, télécharger ou installer des logiciels malveillants supplémentaires ou aléatoires, ou fermer immédiatement le RAT d'origine et supprimer toutes les preuves. L'énorme capacité d'un RAT à se transformer en un type de malware complètement différent montre que les risques posés par un RAT non détecté sont presque illimités.
Le logiciel sans fichier "vit" dans le registre
Techniquement, les logiciels qui "vivent" dans le registre (dans Windows, l'endroit où réside la configuration du système d'exploitation) ne sont pas vraiment sans fichier, car le registre lui-même réside dans un fichier sur le disque dur. Mais la plupart des logiciels que Windows lance automatiquement au démarrage sont répertoriés dans le registre sous la forme d'un nom de fichier contenant le programme à exécuter. Donc, si le programme est malveillant ou indésirable, une analyse régulière du disque dur peut trouver et supprimer le logiciel malveillant. C'est le cours normal. Cependant, certaines entrées de registre peuvent contenir le script ou le programme réel que vous souhaitez que Windows exécute encodé directement dans les données de registre. Les menaces stockées de cette manière n'occupent pas leur propre fichier sur le disque et sont donc plus difficiles à trouver.
LPE = Escalade des privilèges locaux
Les fraudeurs ne peuvent pas pénétrer dans l'ordinateur d'un LPE. Mais : s'ils sont déjà dans le système, ils peuvent utiliser une vulnérabilité LPE pour passer d'un compte d'utilisateur normal à un compte avec plus de droits. Le favori du hacker est l'administrateur du domaine, presque sur un pied d'égalité avec l'administrateur système.
RCE = exécution de code à distance
Fait exactement ce qu'il dit : les attaquants entrent dans l'ordinateur et démarrent un programme de leur choix sans nom d'utilisateur/mot de passe.
Exploits du jour zéro
Vulnérabilités pour lesquelles il n'existe pas encore de correctifs
Attaque zéro clic
Attaques qui ne nécessitent aucune action de l'utilisateur. La technologie fonctionne même lorsque l'ordinateur est verrouillé ou que personne n'est connecté, comme c'est souvent le cas sur les serveurs.
La question cruciale après une attaque par ransomware : payer ou pas
Compter ou ne pas compter, telle est la question après une attaque de pirate réussie avec un ransomware. Malheureusement, bien qu'aucune rançon ne doive jamais être payée, il n'y a pas de réponse unique, car cela peut être la seule chance pour la victime d'éviter une catastrophe commerciale. Cependant, comme l'indique clairement le Sophos State of Ransomware Report 2021, le paiement de la rançon est loin d'être une garantie de récupération complète des données. Seuls 8% de ceux qui ont payé la rançon ont récupéré toutes leurs données par la suite. "Quiconque s'est dit que payer la rançon pour économiser le temps et les efforts de récupération ne peut pas faire beaucoup de mal aux autres devrait savoir mieux", a déclaré Paul Ducklin, technologue senior chez Sophos. "Faire des affaires avec des cybercriminels, c'est jouer avec le feu, et en même temps, tout le monde doit être conscient que l'argent de l'extorsion n'est pas seulement dépensé pour des luxes privés, mais aussi pour de nouvelles attaques et technologies, ce qui augmente la croissance de l'activité de la cybercriminalité. un ensemble."
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.