Ransomware : explosion d’attaques à double extorsion

3 Déc, 2021

Chaque mois, SEKOIA.IO vous propose un éclairage sur l’état de la menace Ransomware avec des analyses sur la victimologie, les nouveaux acteurs émergents et l’évolution des modes opératoires utilisés par les groupes d’attaquantsinformatiques opérant des ransomware.

L’explosion d’attaques à double extorsion

Les attaques par ransomware ont montré une croissance importante au cours du mois dernier, la plus importante hausse provenant des groupes Spook et Midas. Le nombre de victimes revendiquées par différents groupes malveillants a ainsi augmenté en passant de plus de 240 au mois de septembre à 333 ce mois-ci. Cela représente une hausse de 39% d’attaques à double extorsion connues par rapport au mois précédent, et cette évolution en crescendo gagne en intensité depuis des mois.

Parmi les campagnes devenues connues au mois d’octobre, 45,3% (151 attaques) ont visé les Etats- Unis. Ce pays qui se maintient à la tête du classement éveille l’intérêt des groupes d’attaquants de par son développement économique, ce qui rassurerait les opérateurs des ransomware quant au paiement de la rançon. Par ailleurs, une victime sur quatre se situait en Europe de l’Ouest.

Cependant, la carte des victimes s’étend au fil du temps et trois nouveaux pays font leur entrée depuis le 1er octobre, à savoir la Macédoine du Nord, Haïti, ou encore la Papouasie-Nouvelle-Guinée.

Les pays les plus impactés par les groupes ransomware en octobre 2021, par nombre croissant d’attaques

La France arrive deuxième, avec 6,3% des attaques à double extorsion sur son territoire, en comptant 21 nouvelles victimes le mois qui vient de s’écouler. Cette accélération est notamment due à l’émergence du ransomware Spook, qui a revendiqué 9 victimes françaises en moins d’un mois, ce qui représente 24% des toutes ses attaques connues.

Nombre d’attaques par ransomware à double extorsion visant la France de mai à octobre 2021 et le groupe le plus actif chaque mois

Des infrastructures critiques dans le viseur des ransomware

Tous pays confondus, l’industrie manufacturière, les secteurs financier et technologique sont incontestablement les secteurs d’activités les plus touchés par les attaques ransomware à double extorsion. Les entités du secteur de la santé enregistrent une évolution inquiétante – 22 hôpitaux, centres de réhabilitation et associations médicales ont été victimes des ransomware en octobre 2021. Ce chiffre est en hausse depuis plusieurs mois et est principalement dû à l’activité des groupes comme LockBit, Pysa et Conti.

Les secteurs d’activités les plus impactés par les ransomware en octobre 2021, en nombre d’attaques revendiquées

Focus sur les attaquants du mois d’octobre 2021

Les 21 groupes d’attaquants pratiquant la double extorsion en octobre se répartissent dans un classement qui est largement dominé par LockBit – ce groupe qui s’est réinventé en août 2021 avec la mise à jour de son logiciel malveillant (actuellement utilisé dans sa version 2.0). Le duo LockBit – Conti trône ce classement depuis des mois, et comptent près de 43% d’attaques à eux deux le mois dernier.

Nombres d’attaques revendiquées par des groupes ransomware en octobre 2021

En revanche, le Top 5 des attaquants est cette fois-ci complété par deux nouveaux groupes : Spook et Midas.

Le ransomware Spook a fait son apparition à la fin septembre et s’est montré très actif pendant plusieurs semaines, enregistrant 38 victimes – pour la plupart des PME. Lié aux familles de ransomware Prometheus et Thanos, Spook a été observé en train de demander des rançons de faible montant, probablement pour rester sous les radars le plus longtemps possible.

Le groupe opérant Spook est soudainement devenu silencieux et n’actualise plus son site d’extorsion depuis le 19 octobre dernier, qui est actuellement inaccessible. Activité interrompue ou réorganisation en cours, il est certain que Spook est devenu, en peu de temps, un des ransomware à plus rapide expansion comparé aux autres.

Quant à Midas, il s’agirait du même groupe derrière le ransomware Haron (lui-même un dérivé d’Avaddon). Le nouveau site d’extorsion reprend ainsi des anciennes victimes de Haron et en rajoute une vingtaine.

D’autres groupes tels que Yanluowang, Macaw et 54BB47h ransomware ont émergé le mois dernier, mais ne semblent pas (ou pas encore) avoir publié des informations concernant les victimes sur des sites web leur appartenant.

Tactiques, techniques et procédures en constante évolution

Le mois d’octobre a été marqué par des évolutions très dynamiques au regard de l’ensemble des TTPs (tactiques, techniques et procédures) employés par les acteurs malveillants. Le leitmotiv de leur activité semble toujours être la transformation pour notamment élargir la surface d’attaque, ou encore pour mettre plus de pression sur les victimes.

On a récemment identifié plusieurs annonces sur le site web du ransomware Conti qui se distinguaient des précédentes par une phrase citant :

“We are looking for a buyer to access the network of this organization and sell data from their network” (en français : “Nous recherchons un acheteur qui puisse accéder au réseau de cette organisation et vendre les données de son réseau”).

Conti était déjà connu pour son activité organisée autour de l’obtention d’accès à distance aux réseaux des victimes, à des fin de déploiement de son ransomware. Cette nouvelle pratique pourrait être un moyen de rentabiliser les accès obtenus, de recruter des affiliés pour mener des attaques ciblées, ou encore de faire évoluer les techniques d’extorsion pour les placer avant même le chiffrement.

Nombres d’attaques revendiquées par des groupes ransomware en octobre 2021

Une autre innovation porte la signature du groupe FIN7 et représente la création d’une pseudo société destinée à recruter des spécialistes IT pour mener à bien ses projets de ransomware. Opérant sous le couvert d’une entreprise “légitime”, cette entité était bien dissimulée – ses fondateurs ont adopté des techniques de désinformation afin de détourner les recherches en source ouverte sur leur entité, en l’associant à plusieurs noms légitimes existant bien avant la campagne malveillante.

En même temps, le groupe derrière le ransomware Grief semble mettre la pression sur une de ses dernières victimes moyennant de faux comptes Twitter. Après avoir revendiqué sur son site d’extorsion une attaque contre une association américaine qui est destinée à protéger le droit de posséder et de porter des armes, la nouvelle s’est vite répandue via différents canaux de communication, dont Twitter. Il paraît, par la suite, que le groupe opérant Grief a tenu à distribuer la nouvelle à plus de destinataires possible, soit pour faire la publicité de leur projet, soit pour convaincre la victime à les contacter au plus vite et à procéder au paiement de la rançon. Cette démarche très inhabituelle s’est concrétisée dans la création en masse de comptes Twitter à fausse identité qui ont distribué du contenu relatif à l’activité du ransomware Grief, dont son attaque contre ladite association.

Ressources et références

Ressources

Pour en savoir plus sur la menace Ransomware, voici une sélection des meilleures ressources publiées en octobre 2021 :

Ransomware Trends in Bank Secrecy Act Data Between January 2021 and June 2021

https://www.fincen.gov/sites/default/files/2021-10/Financial%20Trend%20Analysis_Ransomware%20508%20FINAL.pdf

Ransomware attackers down shift to ‘Mid-Game’ hunting in Q3 2021

https://www.coveware.com/blog/2021/10/20/ransomware-attacks-continue-as-pressure-mounts

We analyzed 80 million ransomware samples – here’s what we learned

https://blog.google/technology/safety-security/we-analyzed-80-million-ransomware-samples-heres-what-we-learned/

Ransomware in a global context

https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf

Références

Chat with our team!

Would you like to know more about our solutions? Do you want to discover our XDR and CTI products? Do you have a cyber security project in your organization? Make an appointment and meet us!

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !