Pleins feux sur les menaces : Ransomware d’extorsion de données : principales tendances en 2023

Aperçu des tendances des ransomwares

Alors que la nature fondamentale des ransomwares passe du chiffrement à l’exfiltration de données, les pratiques de sauvegarde et de récupération des données des organisations ne les protègent plus des attaques. Au cours des dernières années, le paysage cybercriminel a également changé. 
De plus en plus d’organisations criminelles de ransomware adoptent Modèles économiques « as-a-Service » sur le dark web qui ouvrent la porte à la participation des attaquants de tous niveaux. Les cybercriminels peuvent désormais acheter l’intégralité de l’infrastructure des ransomwares sur le dark web.

Pour cette analyse, l’équipe de recherche de Flare a examiné les données de milliers d’attaques de ransomware à double et triple extorsion pour identifier les tendances autour de :

  • Modifications des attaques d'extorsion de données au fil du temps
  • Groupes représentant les menaces les plus importantes
  • Industries les plus touchées par les attaques de ransomwares

Lire notre rapport complet, Ransomware d’extorsion de données et chaîne d’approvisionnement de la cybercriminalité : principales tendances en 2023, et/ou continuez à lire pour les faits saillants.

Comment « parler » des ransomwares

À mesure que les attaques de ransomware ont évolué au fil des années, le vocabulaire décrivant les différents acteurs et variantes a également évolué. Certains termes clés utilisés lors des discussions sur les organisations et variantes de ransomwares incluent :

  • Extorsion de données : Un opérateur de ransomware menace de publier les données volées si la victime ne paie pas la rançon
  • Rançongiciel de double extorsion : Attaque utilisant deux méthodes d'extorsion, comme l'extorsion de données et le cryptage
  • Ransomware triple extorsion : Attaque utilisant au moins trois méthodes d'extorsion distinctes, telles que le chiffrement, l'extorsion de données et la notification à des tiers.
  • Groupe de rançongiciels : Un groupe criminel organisé axé sur la création, la distribution et l'extorsion de ransomwares
  • Affilié Ransomware : Une partie externe s'associant à un groupe de ransomware et partageant les bénéfices potentiels
  •  Blog sur les ransomwares : Un site Web Tor sur lequel un groupe de ransomware publie les données des victimes
  • Site dédié aux fuites (DLS) : Un site Web/service caché sur lequel les opérateurs de ransomware publient les données volées, avec des groupes plus avancés gérant un blog et un DLS

Groupes de ransomwares et extorsion de données

Les groupes de ransomware existent au sein d’un écosystème de cybercriminalité plus large qui comprend des cybercriminels vendant des ressources telles que :

  • Accès initial aux environnements informatiques de l'entreprise
  • Lettres de créance
  • Cookies pour les applications SSO
  • Infrastructure prête à l'emploi pour la distribution

De plus, les organisations de rançongiciels sont des entités autonomes qui adoptent différents modèles commerciaux, notamment :

  • Structure d'entreprise: Groupes de ransomwares avec des hiérarchies claires et des spécialisations de rôles
  • Les programmes d'affiliation: Affiliés de ransomwares qui fournissent des ransomwares à des sous-traitants externes qui parviennent à obtenir un accès initial et à infecter les systèmes

Les différents modèles économiques ont un impact sur la manière dont l’organisation cybercriminelle opère au sein de l’écosystème plus large. 

Infostealers, marchés du Dark Web et chaînes de télégrammes payantes

Souvent sous-estimés, les malwares infostealer et journaux de voleur infecter les ordinateurs des victimes principalement via des téléchargements de logiciels piratés, des publicités malveillantes et phishing e-mails. Une fois exécuté, le logiciel malveillant exfiltre les données des appareils, y compris l'empreinte digitale du navigateur contenant les informations d'identification stockées, les cookies de session active, les informations de carte de crédit et les informations sur l'hôte.

Les groupes de ransomwares peuvent acheter ces données sur les marchés du dark web et chaînes Telegram illégales permettant d'accéder à :

  • Applications SSO d'entreprise
  • Environnements Active Directory (AD)
  • Protocole de bureau à distance (RDP)

Selon les recherches de Flare, un échantillon de plus de 20 millions de journaux de voleurs uniques a identifié :

  • 196,970 XNUMX instances d’informations d’identification AD 
  • 53,292 XNUMX identifiants SSO d’entreprise 

Fournisseurs d'infrastructures de logiciels malveillants en tant que service (MaaS), de phishing en tant que service (PaaS) et de cybercriminalité

Les fournisseurs MaaS et PaaS fournissent l'infrastructure et les logiciels malveillants nécessaires aux cybercriminels pour accéder aux systèmes privilégiés. 

Voici des exemples de services fournis par ces organisations criminelles :

  • Kits d'exploitation
  • Chevaux de Troie d'accès à distance (RAT)
  • Botnets
Automate Your Threat Exposure Management

Integrate the world’s easiest to use and most comprehensive cybercrime database into your security program in 30 minutes.

Grâce à ces services, les opérateurs de ransomwares peu sophistiqués peuvent déployer des attaques rapidement, efficacement et avec succès.

Courtiers d’accès initial (IAB) et obtention d’un accès privilégié 

Opérant en grande partie sur le Exploiter et Forums XSS, les IAB se spécialisent dans l'obtention et la vente d'accès aux environnements informatiques d'entreprise. Même si les IAB ne publient qu'une ou deux listes par jour, celles-ci sont souvent de haute qualité et contiennent l'accès dont les opérateurs de ransomwares ont besoin pour compromettre le réseau et l'infrastructure. 

Blogs sur les ransomwares Tor

Les groupes de ransomwares les utilisent pour communiquer avec leurs affiliés, publiant souvent des mises à jour telles que :

  • Mises à jour du programme d'affiliation
  • Données des victimes qui n'ont pas payé la rançon

Les cybercriminels peuvent utiliser ces sites Web pour faire pression sur leurs victimes afin qu'elles paient la rançon. 

Ransomware, extorsion de données et croissance explosive de la cybercriminalité organisée

Pour comprendre les principales tendances en matière de ransomwares en 2023, Flare a analysé plus de 80 publications de rançons sur plus de 18 mois, comprenant des milliers d'événements.

Selon cette étude, nous avons constaté une augmentation annualisée de 112 % des tactiques d'extorsion de données ciblant principalement les secteurs suivants :

  • Informatique: Cibler les fournisseurs de services de sécurité gérés (MSSP) et les entreprises de logiciels en tant que service (SaaS) pour distribuer des ransomwares
  • Services professionnels et aux consommateurs: Cibler les organisations qui détiennent des données hautement sensibles, comme cabinets d'avocats, cabinets comptables et consultants, avec incitation à payer des rançons
  • Finance et assurance: Cibler les sociétés de services financiers qui détiennent des données sensibles sur les entreprises et les consommateurs 

Notre analyse des groupes et affiliés responsables de la majorité des attaques a révélé les plus importantes suivantes :

  • LockBit Ransomware en tant que groupe de services : un simple « pointer-cliquer » qui représentait 20 % des attaques de ransomwares dans certains pays et des dizaines de millions de dollars de dommages
  • Groupe de rançongiciels CL0P (TA505): démontrant sophistication et adaptabilité grâce à une approche multi-vecteurs des cyber-attaques, l'exploit zero-day MOVEit étant l'un de leurs plus connus.
  • BianLian: spécialisé dans le déploiement de ransomwares et l'extorsion de données principalement en obtenant un accès initial via des informations d'identification RDP compromises pour cibler les infrastructures critiques, les services professionnels et les secteurs de la promotion immobilière 

Recommandations de prévention contre les ransomwares 

S'attaquer aux principaux vecteurs d'attaque des ransomwares

Les trois principaux vecteurs d’attaque ciblés par les organisations de ransomware sont :

  • Informations d'identification volées (notamment via les journaux de voleurs)
  • vulnérabilités
  • Erreur humaine

Prévention et identification des journaux de voleurs et des fuites d'informations d'identification

Avec une nouvelle classe de logiciels malveillants RAT baptisés infostealer, les journaux de vol sont devenus une menace plus grande, en particulier ceux contenant des cookies de session actifs qui permettent aux attaquants de contourner l'authentification à deux facteurs (2FA) et l'authentification multifacteur (MFA). 

Étant donné que les utilisateurs réutilisent souvent leurs mots de passe sur plusieurs services, les opérateurs de ransomwares peuvent utiliser les informations d’identification volées comme point d’entrée facile, leur donnant ainsi la possibilité de se déplacer latéralement et de tenter d’accéder à AD. À ce stade, ils augmentent leurs privilèges pour voler des fichiers. 

Meilleures pratiques de prévention contre les ransomwares pour les Blue Teams

  • Mettre en œuvre des mesures de détection robustes pour les journaux de voleurs sur le marché russe, le marché Genesis et les groupes Telegram publics/privés 
  • Surveillez les mots de passe réutilisés identifiés lors d'une violation de données, en accordant une attention particulière aux mots de passe réutilisés trouvés lors de plusieurs violations.
  • Surveillez les journaux de vol qui contiennent un accès spécifique aux informations d'identification RDP, VPN et SSO (accès d'entreprise)

Comment Flare peut vous aider : menaces de ransomware

La solution proactive de gestion de l'exposition aux cybermenaces externes de Flare analyse en permanence le monde en ligne, y compris le Clear & Dark Web et les canaux Telegram illégaux. 

Avec 4,000 14 communautés de cybercriminalité surveillées, notre plateforme fournit des données provenant de XNUMX millions de journaux de voleurs et de deux millions de profils d'acteurs menaçants. Étant donné que notre plateforme collecte, analyse, structure et contextualise automatiquement les données du Dark Web, vous obtenez des renseignements de grande valeur spécifiques à votre organisation pour des enquêtes plus rapides sur le Dark Web et une réduction significative des coûts de réponse aux incidents de fuite de données.

Inscrivez-vous pour un essai gratuit! pour en savoir plus à propos de préparation aux ransomwares avec Flare.

Partagez cet article

Contenu similaire