État de la menace ransomware de juillet 2021

21 Sep 2021

juillet 2021

Chaque mois, SEKOIA.IO vous propose un éclairage sur l’état de la menace Ransomware avec des analyses sur la victimologie, les nouveaux acteurs émergents et l’évolution des modes opératoires utilisés par les groupes d’attaquants informatiques opérant des ransomware.

Quelques chiffres

En juillet dernier, le suivi des attaques par ransomware à double extorsion réalisé par SEKOIA.IO a permis de recenser 164 nouvelles victimes. Malgré la disparition récente de plusieurs grands groupes de ransomware, le nombre de victimes reste donc constant. En revanche, la répartition des “parts du marché” a évolué ce mois-ci en comptant plusieurs nouveaux acteurs.

Le nombre d’attaques revendiquées en juillet 2021 par groupe d’attaquant

Le nombre d’attaques revendiquées en juillet 2021 par groupe d’attaquants

En confrontant le Top 3 des pays ciblés les deux derniers mois, on constate que les Etats-Unis arrivent toujours en tête. Ce qui change maintenant est le poids des sociétés américaines dans le nombre total des cibles : 29,3% de nouvelles victimes sont basées aux Etats-Unis, contre près de 50% le mois dernier. Cette diminution pourrait être le résultat des actions des autorités américaines pour combattre les attaques par ransomware. Il est encore trop tôt pour en déduire une tendance.
Les Etats-Unis restent très prisés des vendeurs d’accès sur le marché cybercriminel, ce qui est souvent l’élément catalyseur des attaques par ransomware.
En contrepartie, beaucoup de nouveaux pays font leur entrée dans la liste des victimes de ce mois de juillet. C’est notamment le cas de la Croatie, de l’Estonie, du Liban, ou encore du Qatar et de la Syrie, qui ont récemment été cités pour la première fois cette année sur les sites d’extorsion administrés par différents RaaS (Ransomware-as-a-Service). Ceci est d’autant plus surprenant que les opérateurs des ransomware nous ont habitués à cibler en priorité des pays développés, là où les entreprises sont plus à même de payer une rançon conséquente.

On constate ainsi un élargissement du périmètre d’attaque, le nombre de pays ciblés passant de 23 en juin à 37 ce mois-ci.

Les pays les plus impactés par les ransomware en juillet 2021, par nombre croissant d’attaques

Les pays les plus impactés par les ransomware en juillet 2021, par nombre croissant d’attaques

Cette tendance impose un suivi renforcé de la menace ransomware, étant donné la “démocratisation” graduelle du monde de la cybercriminalité. Des codes sources des logiciels malveillants sont systématiquement rendus publics sur différents espaces d’échanges cybercriminels et l’accès y devient de plus en plus aisé. La répartition des acteurs de la menace peut donc vite devenir très fragmentée, avec des tendances à long terme plus difficile à dégager.

Ransomware : Un retour en force depuis la rentrée

Les secteurs d’activités les plus impactés par les ransomware en juillet 2021, en nombre d’attaques revendiquées

Les secteurs d’activités les plus impactés par les ransomware en juillet 2021, en nombre d’attaques revendiquées.

La moitié des victimes revendiquées par des RaaS le dernier mois mènent des activités dans les secteurs de la justice, de
l’industrie, du financier, de la construction et de la technologie.

Focus sur les attaquants du mois

Le mois de juillet est marqué par l’arrivée de deux nouveaux acteurs dans le Top 3 des ransomware les plus actifs : LockBit 2.0 et Hive. LockBit 2.0 a fait à lui seul 48 victimes ce qui représente 34% des attaques recensées.

Top 3 des ransomware les plus actifs en juillet 2021

Top 3 des ransomware les plus actifs en juillet 2021

1) Lockbit 2.0 : succès fulgurant de la nouvelle version du ransomware

Actif depuis le 13 juillet dernier, LockBit 2.0 illustre l’exemple d’un RaaS qui a su se réinventer (en passant récemment de la version 1 à la version 2 et, en se proclamant être «le logiciel de chiffrement le plus rapide au monde» à ce jour). Il fonctionne sous le modèle d’un ransomware privé quant au recrutement des affiliés et partenaires. Un changement de stratégie de communication ne nous paraît pourtant pas impossible, en considérant l’intérêt du groupe pour les interviews réalisées par un journaliste russe qui a beaucoup médiatisé REvil en octobre 2020.

Echange entre un représentant du ransomware LockBit et l’utilisateur “russian_osint_youtube” du 2 juillet dernier.

Echange entre un représentant du ransomware LockBit et l’utilisateur “russian_osint_youtube” du 2 juillet dernier.

Traduction :
LockBit : “Combien ça coûte, une interview chez toi ?”
RussianOSINT : “C’est gratuit. Ce n’est pas un projet commercial”.

Néanmoins, les interactions des représentants du groupe sur un forum clandestin nous laissent penser que les affiliés du projet LockBit 2.0 créent des partenariats durables avec des fournisseurs d’accès initiaux (qui se présentent également en tant que “pentesters”) afin de compromettre des réseaux en masse. Comme on peut le voir dans les deux exemples qui suivent, deux utilisateurs (que l’on suppose être des affiliés LockBit 2.0) enregistrés sous les noms de “gple1312” et “Cxorp” sont à la recherche de fournisseurs d’accès à distance pour des pays tels que les Etats-Unis, le Royaume-Uni, ou encore les pays membres de l’UE.

Des annonces de recherche des fournisseurs d’accès initiaux sur un forum russophone.

Des annonces de recherche des fournisseurs d’accès initiaux sur un forum russophone.
Traduction : “gple1312” : “Salut, je recherche des accès Fortivpn, Tpweb, Citrix… Vnc. Revenu [des entreprises ciblées] : jusqu’à 500-600 millions”. 
“Xcorp” : “J’achète des accès rdp, vpn, citrix. Pays : USA, EU, UK. Le prix est négociable”.

Les annonces concernant au moins cinq entreprises ont été retirées du site, ce qui pourrait indiquer un paiement de la rançon par la victime, ou bien l’achat des données par un tiers.

Les secteurs les plus touchés par le ransomware jusqu’à présent sont la construction et l’industrie. Les Etats-Unis, le Brésil et l’Australie sont les pays les plus touchés.

Aperçu de la victimologie du ransomware LockBit 2.0

Aperçu de la victimologie du ransomware LockBit 2.0

2) De nouveaux RaaS émergent

Les récentes métamorphoses des groupes opérant des ransomware prouvent, une fois de plus, le caractère changeant de l’écosystème ransomware. Cela se traduit parfaitement par l’émergence, ce mois-ci, des groupes tels que AvosLocker, BlackMatter, Haron, tout comme Hotarus et Quantum. Cumulés, ces groupes sont responsables d’une attaque sur cinq parmi celles rendues publiques en juillet dernier.

Une question s’impose quant à ces nouveaux acteurs : sont-ils vraiment des débutants sur la scène des ransomware ? Après avoir analysé l’évolution de ces derniers, il est fort probable que les entreprises affrontent à présent d’anciens membres des RaaS récemment “disparus”.

Découvert au mois de juillet dernier, le ransomware Haron est à présent activement distribué chez les victimes via des pièces jointes d’e-mails infectés, des sites Web distribuant des torrent ou des publicités malveillantes. Les membres de ce nouveau groupe ont également lancé un site Web dédié au chantage aux données sur lequel ils ont commencé à énumérer de potentielles victimes, pour la plupart des TPE et des PME.

Site Web du ransomware Haron

Site Web du ransomware Haron

Le groupe semble infecter les victimes au ransomware Thanos et délivrer une note de rançon similaire à celles envoyées auparavant par Avaddon. Le site d’extorsion Haron présente également beaucoup de ressemblances avec celui administré jusqu’à la mi-juin par Avaddon. La menace de la publication de données semble d’ailleurs avoir porté ses premiers fruits : les données d’un “Group of Company” comptant cinq sociétés néerlandaises auraient déjà été vendues, d’après une mention sur le site. Il est probable que Haron soit un ransomware privé, puisqu’aucune annonce de recrutement d’affiliation, ni de promotion de logiciel malveillant n’ont été observées.

Un autre nouvel arrivant, BlackMatter, est bien plus présent sur les forums cybercriminels, en y recrutant activement des affiliés. Dans son annonce, un représentant du RaaS dévoile les priorités du groupe. Ainsi, les cibles potentielles seraient des entreprises basées aux Etats-Unis, au Canada, en Australie, ou encore au Royaume-Uni et qui enregistrent plus de 100 millions de dollars de revenus par an.

Publication de BlackMatter concernant l’achat (ponctuel ou régulier) d’accès initiaux, en précisant les pays ciblés

Publication de BlackMatter concernant l’achat (ponctuel ou régulier) d’accès initiaux, en précisant les pays ciblés, les secteurs d’activités interdits aux attaques (les secteurs médical et gouvernemental), ainsi que la description du programme d’affiliation avancé par les opérateurs du ransomware.

L’achat d’accès initiaux dans le but de déployer des ransomware sur des réseaux compromis est une tendance qui n’est pas nouvelle, mais qui connaît un essor depuis l’interdiction des “activités commerciales” relatives aux ransomware sur plusieurs forums privilégiés par les RaaS. Selon notre suivi sur un de ces forums, plus de 70 annonces concernent l’achat et/ou la vente d’accès à des sociétés du monde entier, excepté la Russie et la Communauté des États indépendants (CEI). À cela s’ajoutent les compromissions via l’exploitation des vulnérabilités et autres types de compromission permettant de gagner l’accès à un réseau d’intérêt.

On a également constaté plus de 15 partenariats initiés par des acteurs malveillants pour mettre en place des coopérations durables entre les acheteurs et les fournisseurs d’accès, aussi appelés “pentesters” au sein de la communauté cybercriminelle. Comme dans l’exemple de BlackMatter, la tendance générale est de chercher à exploiter des accès pour des entreprises localisées dans des pays développés, tout en se rassurant que le revenu d’une potentielle victime lui permettra de couvrir le coût d’une rançon si se veut maximale. Les ventes et les achats en masse sont d’ailleurs beaucoup plus nombreux que ceux concernant une entité précise, ce qui nous fait en conclure sur la nature “industrialisée” de ce commerce illicite.

Les représentants de BlackMatter communiquent principalement en Russe et mentionnent, à la DarkSide, plusieurs secteurs d’activités à éviter par leurs futurs affiliés. “Nous n’accepterons pas les accès aux réseaux qui ont été précédemment infiltrés par d’autres groupes« , disent-ils, adoptant ainsi la même position que celle défendue traditionnellement par REvil. Curieusement et contrairement à d’autres groupes russophones, il n’est pas question ici d’interdire le déploiement du ransomware en Russie ou dans les pays de l’ex-bloc soviétique, ni de recruter des partenaires sur des principes linguistiques. Cela nous paraît être une omission volontaire plutôt qu’une approbation tacite des activités malveillantes sur le territoire de l’ancienne URSS, particulièrement épargné par les ransomware.

Site Web du ransomware BlackMatter

Site Web du ransomware BlackMatter

Selon certaines analyses, BlackMatter utilise les mêmes méthodes de chiffrement que DarkSide et serait donc déployé par le même groupe qui serait maintenant de retour dans le “Big Game Hunting”. En effet, “le produit a été développé au cours des six derniers mois” et “l’exécutable lui-même a repris certaines caractéristiques de LockBit, REvil, et en partie DarkSide”, d’après les déclarations récentes d’un représentant du groupe.

Un des derniers RaaS à avoir recours à la double extorsion – AvosLocker – est également en train de constituer son équipe. Les représentants du groupe garantissent à leurs affiliés potentiels leur concours pour mener les négociations, héberger les données volées et les publier sur leur site.

Publications de BlackMatter concernant l’achat d’accès initiaux et le recrutement des affiliés

Publications de BlackMatter concernant l’achat d’accès initiaux et le recrutement des affiliés

Une brève analyse visuelle du site de fuite de données d’AvosLocker révèle certaines similitudes avec celui du ransomware DoppelPaymer. Le dernier semble être inactif depuis mai 2021 et des similarités entre les sites Web de DoppelPaymer et Grief ont également été constatées.

Au cours du mois dernier, six victimes ont été rendues publiques sur le site Web d’AvosLocker. Les opérateurs du ransomware menacent de divulguer leurs données si ces dernières refusent de négocier. À l’heure actuelle, seuls des échantillons de données ont été publiés, à l’exception d’une entreprise d’Arabie saoudite dont les données internes ont été partagées sur le Dark Web.

En outre, le passage d’AvosLocker à la triple extorsion serait à envisager prochainement, vu l’annonce ci-dessous.

Annonce de recrutement par les représentants du ransomware AvosLocker

Annonce de recrutement par les représentants du ransomware AvosLocker

Publiée le 20 juillet dernier par un représentant du ransomware, la publication laisse croire qu’une personne sera recrutée pour appeler les victimes une fois leurs données chiffrées et volées, et leur faire “passer des messages”.

3) REvil – une disparition silencieuse

Apparu pour la première fois en 2019, REvil a été pendant longtemps l’un des groupes RaaS les plus prolifiques. À la veille du week-end prolongé du 4 juillet dernier aux Etats-Unis, le groupe a réalisé l’une de ses plus grandes attaques : il a réussi à compromettre Kaseya VSA, une solution utilisée par les fournisseurs de services managés (MSP) pour administrer les systèmes de leurs clients. L’impact global aurait été de 1 500 victimes finales.

Le 5 juillet dernier, REvil a revendiqué l’attaque contre « plus d’un million de systèmes » et a exigé le paiement d’une rançon de 70 millions de dollars pour publier une « clé de déchiffrement universelle« .

Quelques jours plus tard, les sites Web administrés par REvil sont devenus inaccessibles, alors que de nombreuses victimes n’avaient pas encore engagé de négociations. 

« UNKN »/ »Unknown », un représentant de REvil sur plusieurs forums du Dark Web qui était habitué à beaucoup communiquer sur ces plateformes, est resté étonnamment silencieux depuis ce jour, pour finalement être banni par les administrateurs des mêmes forums.

 

Le profil du représentant du ransomware REvil sur un forum cybercriminel Russophone

Le profil du représentant du ransomware REvil sur un forum cybercriminel Russophone

On ne sait toujours pas dans quelle mesure cette disparition pourrait être le résultat de la coopération russo-américaine en matière de cybersécurité. Les autorités des deux Etats n’ont pas revendiqué une potentielle saisie.

REvil suit-il donc DarkSide et Babuk qui ont volontairement cessé leurs activités suite à la pression des forces de l’ordre ? Ont-ils simplement décidé de changer de dénomination comme ils l’ont déjà fait dans le passé avec GrandCrab ? C’est très probable, voire déjà arrivé, avec l’émergence de nouveaux groupes ces dernières semaines.

4) Babuk : un ransomware as a service en constante évolution

Babuk est un bon exemple de l’évolution qu’a connu la menace ransomware depuis le début de l’année 2021. D’après le monitoring des sites de ransomware de SEKOIA, le groupe a mené 39 attaques depuis le début de l’année. Son organisation témoigne du paysage changeant de l’écosystème ransomware, impacté entre autres par l’interdiction de fréquentation de certains forums cybercriminels.

Evolution du Raas

Depuis sa première apparition fin 2020, Babuk a connu plusieurs évolutions structurelles. Le 29 avril, le groupe a déclaré, dans son message intitulé “Hello World 2”, que le projet Babuk allait être fermé. Le lendemain, il a également annoncé faire évoluer ses méthodes d’extorsion, passant du chiffrement de fichiers à l’exfiltration de données. Ces données allaient ensuite être vendues à des concurrents des victimes ou sur des marchés clandestins. Cette approche a déjà été observée dans le passé par d’autres ransomware comme Maze ou Clop.

Un mois plus tard, le 31 mai, le groupe s’est rebaptisé Payload.bin et a commencé à opérer en tant que site hébergeant les fuites de données pour le compte d’autres ransomware. Ce changement a été effectué peu après l’interdiction d’accès et de diffusion des ransomware sur les forums cybercriminels et a conduit à une réévaluation de leur activité en tant que RaaS. Ceci montre une volonté de Babuk de récupérer les échanges précédemment effectués sur les forums pour son propre bénéfice.

Passage d’un site de leak à un forum cybercriminel

Le deuxième rebranding stratégique de Babuk a été effectué deux mois et demi après la publication de Payload.bin, le 11 juillet. Tout en conservant la même URL .onion, le groupe est alors devenu un forum à part entière. La langue d’usage sur RAMP est le russe. Il n’est cependant pas clair s’il s’agit uniquement de la Russie, ou si la CEI est également concernée. Le forum comptait 3 utilisateurs le jour de son lancement, 54 quatre jours plus tard et 332 le 20 juillet, ce qui montre une croissance rapide.

 

Le premier message a été posté par « TetyaSluha » (maintenant “Orange”), qui semble être l’administrateur du forum. Selon lui, l’objectif de RAMP est de fournir une plateforme de soutien pour les RaaS et une communauté d’échange, surtout après l’interdiction des ransomware sur d’autres plateformes cybercriminelles.

Fin juillet, le site de leak Payload.bin est réapparu sous un nom de domaine différent. Il est possible que le site ait été repris par un affilié du groupe.

Potentielle scission interne du groupe

L’administrateur de RAMP affirmait initialement n’avoir aucun lien avec l’ancienne équipe de Babuk, ce qui est surprenant puisqu’il utilise le même nom de domaine .onion. Le groupe ayant annoncé la cessation de son activité il y a trois mois, il est possible que de nouveaux membres aient repris une partie de l’activité du groupe.

D’un autre côté, une version personnalisée du ransomware est apparue sous le nom de Babuk Locker, suite à la publication du code source de Babuk courant du mois. Il se pourrait donc qu’il y ait plusieurs opérateurs derrière le ransomware Babuk et que le groupe se réorganise entre l’activité du forum d’un côté, l’activité du site de leak et le lancement d’attaques par ransomware de l’autre. Cette hypothèse de variété d’opérateurs ne fait que se confirmer après l’attaque du forum RAMP, moins de deux semaines après sa sortie. Cette attaque risque de porter atteinte à l’image de RAMP en termes de fiabilité et écarter de potentiels utilisateurs. Elle pourrait mettre en valeur une potentielle scission interne entre les administrateurs du forum et d’anciens membres de Babuk.

Le forum s’est vu demander une rançon de 5000 dollars. Suite au refus de paiement du groupe derrière RAMP, une campagne de spam de GIFs pornographiques a été lancée sur le forum. Ce dernier s’est vu dans l’obligation de fermer les inscriptions au forum. Le groupe a par la suite annoncé que RAMP allait se transformer en forum privé.

 

5) Plusieurs codes source des ransomware ont été rendus publics

Plusieurs ransomware ont récemment publié leur code source sur des forums. Le 23 juin 2021, soit 2 mois après avoir annoncé l’arrêt de son activité, Babuk a publié le code de son builder sur Raidforums. Le builder a ensuite été soumis à VirusTotal cinq jours plus tard. Sur la base du code du builder, nous pouvons voir qu’il peut chiffrer des fichiers hébergés sur des systèmes Windows, des périphériques NAS (Network Storage Attached) basés sur ARM et des serveurs VMWare ESXi.

Publication des représentants du ransomware Babuk

Nous ne savons cependant pas qui est à l’origine de cette soumission. Un opérateur pourrait l’avoir postée afin de voir si elle pouvait être détectée par la plateforme antivirus. Une autre hypothèse est qu’un attaquant ou un chercheur aurait pu la soumettre après avoir trouvé le builder sur Raidforums. 

Le 13 juillet 2021, l’utilisateur Krypt0n a publié le code source du ransomware Paradise sur le forum XSS. Le lien vers le code source n’est accessible qu’aux utilisateurs actifs du site, c’est-à-dire, ceux qui ont déjà répondu ou réagi à d’autres messages sur le site. Le code source de Paradise est composé de trois exécutables : un builder, un chiffreur et un déchiffreur de données. Les commentaires dans le code sont en russe, ce qui laisse penser que les développeurs seraient originaires d’un pays russophone. Krypt0n est aussi connu pour avoir publié le code source de Petya au début du mois de juillet.

Une telle approche open-source permet à tout cybercriminel de développer sa propre version personnalisée des ransomware Babuk et Paradise. Peu après la publication du builder de Babuk sur Raidforums, un attaquant a commencé à en utiliser une version personnalisée sous le nom de Babuk Locker. On ignore toutefois si un opérateur ou un autre utilisateur est à l’origine de ces attaques. Comme le ransomware original, il ajoute l’extension .babyk aux noms des fichiers cryptés et dépose une note de rançon intitulée How To Restore Your Files.txt. Le montant de la rançon demandée diffère cependant de l’ancien ransomware. Alors que le ransomware Babuk original demandait des milliers de dollars de rançon, cet attaquant ne demande que 0,006 bitcoins, soit environ 210 dollars. 

Pour en savoir plus sur la menace Ransomware, voici une sélection des meilleures ressources publiées en Juillet 2021 :

The bizarre story of the inventor of ransomware

https://edition.cnn.com/2021/05/16/tech/ransomware-joseph-popp/index.html

Q2 Ransom Payment Amounts Decline as Ransomware becomes a National Security Priority

https://www.coveware.com/blog/2021/7/23/q2-ransom-payment-amounts-decline-as-ransomware-becomes-a-national-security-priority

This Chat is Being Recorded: Egregor Ransomware Negotiations Uncovered

https://securityintelligence.com/posts/egregor-ransomware-negotiations-uncovered/

Cyber Attack Trends. 2021 Mid Year Report

https://pages.checkpoint.com/cyber-attack-2021-trends.html

2021 MID-YEAR UPDATE SONICWALL CYBER THREAT REPORT

https://www.sonicwall.com/2021-cyber-threat-report/?elqCampaignId=14431&sfc=7013h000000Mm0SAAS

Retrouvez toutes nos analyses ainsi que nos indicateurs de compromission (IOCs) et règles de détection dans nos produits SEKOIA.IO pour anticiper, détecter et répondre à la menace Ransomware.

Chat with our team!

Would you like to know more about our solutions? Do you want to discover our XDR and CTI products? Do you have a cyber security project in your organization? Make an appointment and meet us!

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !