État de la menace ransomware de Juin 2021

27 Août 2021

juin 2021

Chaque mois, SEKOIA.IO vous propose un éclairage sur l’état de la menace Ransomware avec des analyses sur la victimologie, les nouveaux acteurs émergents et l’évolution des modes opératoires utilisés par les groupes d’atta- quants informatiques opérant des ransomware.

Quelques chiffres

Le suivi des sites des groupes de ransomware par SEKOIA.IO a permis de répertorier 1 053 victimes depuis Janvier 2021.

En juin 2021, SEKOIA.IO a recensé 136 victimes de 15 ransomware. 8 nouveaux ransomware ont été identifiés.

Nouveaux ransomware en Juin 2021

Le 11 juin 2021, les opérateurs à l’origine du ransomware Avaddon ont cessé leurs activités et ont fourni les clés de déchiffrement de 2 934 de leurs victimes.

Le 16 juin 2021, 21 perquisitions ont été menées contre les opérateurs de Cl0p. Malgré l’arrestation de plusieurs membres du groupe, les attaquants ont publié des données de plusieurs de leurs victimes (Valley Truck & Tractor, KSS Architects LLP) sur leur site, ce qui laisse penser que le groupe est toujours actif.

A noter que le groupe Everest a ciblé des victimes exclusivement françaises. Hormis deux victimes datant du 31 mai 2021, le groupe n’avait jamais touché de victimes françaises par le passé. Conti a également touché 7 victimes françaises ce qui représente 26% des victimes françaises touchées ce mois-ci.

Top 3 des Ransomware les plus actifs en Juin 2021

Les secteurs d’activité les plus impactés par les ransomware en Juin 2021

Les secteurs les plus touchés en juin 2021 sont l’industrie, la construction, le commerce de détail et les technologies ce qui reste similaire aux tendances relevées le mois dernier.

Ransomware : Un retour en force depuis la rentrée

Top 3 des pays où sont localisées les victimes de ransomware en Juin 2021

Les Etats-Unis, la France et le Royaume-Uni en sont les principales victimes.

Méthodologie : SEKOIA.IO effectue le suivi des sites de publications de données appartenant à 27 groupes de ransomware et une dizaine d’autres sites de publication et/ou de vente de données volées.

L’analyse de SEKOIA.IO

Le ransomware, un nouveau levier de pression psychologique pour mener à bien des attaques?

Avec l’augmentation croissante du nombre d’attaques par ransomware, les opérateurs de ransomware ont acquis une certaine notoriété. De part la médiatisation d’un certain nombre d’attaques, notamment celles visant les hôpitaux, il y a eu une prise de conscience collective vis-à-vis de cette menace. Se rendant compte de ce phénomène, les attaquants se sont mis à exploiter la peur autour du ransomware et à l’utiliser comme appât dans le but de masquer la fonction réelle de leurs attaques. Début juin par exemple, un acteur malveillant a utilisé la notoriété du groupe Darkside qui a revendiqué la cyberattaque de Colonial Pipeline pour lancer des campagnes d’extorsion. D’autres groupes non attribués ont également utilisé le même mode opératoire.

Source : Trend Micro

Des campagnes similaires, basées sur le bluff, ont déjà eu lieu dans le passé : des attaquants ont usurpé l’identité de groupes comme APT-28 ou des Anonymous et exigé le paiement d’une rançon sous peine de lancer des attaques en déni de service distribué contre les cibles récalcitrantes.

Cette exploitation passe par des techniques d’ingénierie sociale déjà prisées des groupes d’attaquants qui se basent sur la manipulation psychologique des victimes et passent pour l’essentiel par la peur. Au début de la crise sanitaire mondiale, certains acteurs malveillants avaient notamment utilisé la peur autour de la Covid 19 pour mettre en place leurs campagnes de spearphishing.

Manipuler la victime pour cacher la fonctionnalité réelle du malware

Une des premières techniques observées pour certains opérateurs de ransomware consiste à cacher la fonctionnalité réelle du malware. Le trojan bancaire STRRAT se fait ainsi passer pour un ransomware. Créé pour voler les informations de ses victimes, STRRAT a été diffusé lors d’une campagne massive de spearphishing par le biais de pièces jointes. La bannière du ransomware n’est ici qu’un faux écran utilisé pour manipuler et détourner l’attention de la victime de la fonctionnalité réelle du malware, à savoir l’exfiltration de données.

Jouer sur l’impact psychologique du ransomware pour dissimuler ses véritables intentions

Par ailleurs, le ransomware peut être utilisé à des fins malveillantes autres que celles attendues d’un ransomware. Dans son analyse Vers une nouvelle utilisation du ransomware par des acteurs étatiques, SEKOIA.IO avait déjà montré que Pay2Key et APT27 avaient lancé des campagnes par ransomware dans l’optique de nuire à leur ennemi plus que celle de chercher un gain financier. Winnti, un autre mode opératoire avancé présumé d’origine étatique chinoise utiliserait la même technique. Il aurait recours au ransomware ColdLock qui a été utilisé une semaine avant l’inauguration présidentielle de Taïwan. Bien que le malware chiffre les données, il est donc fort probable que la motivation derrière cette attaque cache une intention politique plutôt que financière.

Pour masquer leurs véritables intentions, certains attaquants n’hésitent également pas à modifier leurs outils.

Ainsi le groupe d’attaquants derrière le malware Apostle a cherché à dissimuler leurs activités derrière des attaques par ransomware. Conçu comme un wiper de disque, Apostle a ensuite évolué pour devenir un ransomware grâce à l’implémentation d’une fonctionnalité de chiffrement. D’après Sentinel One, cette modification pourrait être là afin de masquer l’intention réelle du groupe d’attaquants qui est de détruire les données des victimes. On s’éloigne donc de l’objectif principal du ransomware qui est de bloquer l’accès de la victime à ses données.

Enfin, certains attaquants cherchent à tirer profit de l’exposition médiatique d’autres groupes. Début juin, le groupe EvilCorp est même allé jusqu’à mener des attaques sous faux drapeau. Alors que l’opérateur derrière Babuk a créé son nouveau portail de leak PayloadBin, EvilCorp a rebaptisé son ransomware WastedLocker en PayloadBin. Le ransomware n’a donc pas fini de faire parler de lui.

Pour en savoir plus sur la menace Ransomware, voici une sélection des meilleures ressources publiées en juin 2021 :

Modern Ransomware’s Double Extortion Tactics And How To Protect Enterprises Against Them

https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/modern-ransomwares-double-extor– tion-tactics-and-how-to-protect-enterprises-against-them

Ransomware 2021- Critical Mid-Year Update

https://go.chainalysis.com/rs/503-FAP-074/images/Ransomware-2021-update.pdf

Report: Ransomware Attacks and the True Cost to Business

https://www.cybereason.com/blog/report-ransomware-attacks-and-the-true-cost-to-business

LockBit Report

https://www.prodaft.com/m/reports/LockBit_Case_Report___TLPWHITE.pdf

Cybersecurity framework for ransomware risk management

https://csrc.nist.gov/CSRC/media/Publications/nistir/draft/documents/NIST.IR.8374-preliminary-draft.pdf

Combating ransomware

https://securityandtechnology.org/wp-content/uploads/2021/04/IST-Ransomware-Task-Force_Final_Report.pdf

Retrouvez toutes nos analyses ainsi que nos indicateurs de compromission (IOCs) et règles de détection dans nos produit SEKOIA.IO pour anticiper, détecter et répondre à la menace Ransomware.

Chat with our team!

Would you like to know more about our solutions? Do you want to discover our XDR and CTI products? Do you have a cyber security project in your organization? Make an appointment and meet us!

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !