Ransomware : un retour en force depuis la rentrée

4 Nov, 2021

Chaque mois, SEKOIA.IO vous propose un éclairage sur l’état de la menace Ransomware avec des analyses sur la victimologie, les nouveaux acteurs émergents et l’évolution des modes opératoires utilisés par les groupes d’attaquants informatiques opérant des ransomware. 

Quelques chiffres

Depuis début septembre dernier, 235 victimes des ransomware ont été détectées par SEKOIA.IO sur différents sites d’extorsion administrés par les groupes ransomware. Cela représente une hausse de 16,3% du nombre d’attaques à double extorsion par rapport au mois d’août dernier et marque le mois le plus chargé depuis le début de l’année. 

Une victime sur deux (48,01%) parmi celles observées par SEKOIA.IO depuis le 1er septembre est localisée aux Etats-Unis. Au total ce sont 36 pays dans toutes les régions du monde qui ont été touchés par la menace ransomware durant cette même période. La France est le deuxième pays le plus touché, suivi de près par d’autres États européens tels que le Royaume-Uni, l’Allemagne et l’Italie. 

Les pays les plus impactés par les groupes ransomware en septembre 2021, par nombre croissant d’attaques 

Le secteur manufacturier reste le plus vulnérable à la menace ransomware,suivi de celui du retail. Certains risques cyber sont encore méconnus et sous-évalués par les acteurs de ces secteurs, ce qui pourrait expliquer leur forte vulnérabilité face à la menace ransomware. Le Top 3 est complété par les entreprises du secteur de la technologie. 

Les secteurs d’activités les plus impactés par les ransomware en septembre 2021, en nombre d’attaques revendiquées 

Des infrastructures critiques dans le viseur des ransomware

Les attaques visant le secteur agroalimentaire sont en hausse

Étant sur une pente descendante depuis plusieurs mois, les campagnes d’attaques contre les acteurs du secteur agroalimentaire ont connu une légère hausse ce mois-ci. Il s’agit d’une industrie qui est parmi les premiers employeurs dans le monde. 

Nombre d’attaques visant le secteur agroalimentaire revendiquées par différents groupes ransomware, janvier-septembre 2021 

Le mois dernier, les entreprises américaines et françaises comptaient pour plus de 50% des victimes dans le secteur mentionné. Il est à noter que le groupe d’attaquants le plus actif au sein de l’industrie s’avère être le cartel derrière le ransomware Conti. 

Les ransomware à l’origine des attaques contre les entités du secteur agroalimentaire depuis janvier 2021 

Au moins deux acteurs importants de l’industrie agroalimentaire aux États-Unis comptent parmi les victimes des ransomware du mois de septembre. 

Le 19 septembre dernier, la coopérative agricole américaine Crystal Valley a reconnu avoir été touchée par une attaque par ransomware. La coopérative céréalière NEW Cooperative, implantée dans l’Iowa, a également communiqué sur une attaque subie le 20 septembre dernier. Les auteurs de cette dernière attaque, le groupe opérant le ransomware BlackMatter, exigeraient 5,9 millions de dollars de rançon contre une clé de déchiffrement. BlackMatter est considéré être le successeur de plusieurs groupes qui ont successivement abandonné leurs activités, tels que DarkSide, Avaddon ou encore REvil. 

La compromission des réseaux de ces deux entités pourrait fortement perturber la chaîne d’approvisionnement en aliments et mettre en danger sa continuité dans les régions affectées. 

L’agroalimentaire représente actuellement un des 16 secteurs critiques annoncés par les autorités américaines en juin dernier comme étant à proscrire par les cybercriminels russes. La déclaration avait été faite peu de temps après une autre attaque qui a fait beaucoup parler d’elle : celle menée par REvil contre la multinationale de l’industrie agroalimentaire JBS au mois de mai dernier. 

Une dizaine de jours plus tard, 100 Go d’informations sensibles concernant une de ces victimes ont été publiées sur le site d’extorsion des acteurs malveillants. 

Le groupe responsable de ces dernières attaques a ainsi non seulement ignoré l’invitation de Joe Biden à épargner les secteurs critiques des attaques par ransomware, mais également enfreint ses propres règles, selon lesquelles BlackMatter ne toucherait pas auxdits secteurs. 

Site web du ransomware BlackMatter 

Bien qu’aucune attribution publique ne soit encore faite par les autorités américaines, le 1er septembre dernier le FBI mettait déjà en garde contre une recrudescence des attaques par ransomware visant le secteur agroalimentaire aux États-Unis. 

Les États-Unis renforcent leurs efforts de lutte contre les ransomware

Des annonces communiquées récemment par les États-Unis se présentent comme un nouvel effort de mobilisation suite aux dernières compromissions de ses infrastructures critiques. La Maison Blanche annonce la préparation de mesures proactives destinées à contrer la menace ransomware. 

D’abord, les États-Unis ont décidé de sanctionner la plateforme d’échange de cryptomonnaies SUEX. Pour ce faire, une cellule de lutte contre les menaces liées aux monnaies virtuelles a été créée par le FBI. D’après les décideurs, le site est activement utilisé par les opérateurs d’au moins huit ransomware différents. Une telle mesure venant des États-Unis est une première, mais son objet est tout sauf surprenant, sachant que l’évolution des cryptomonnaies est toujours allée de pair avec l’expansion des ransomware, et vice versa. 

La Maison Blanche aurait également proposé à ses partenaires internationaux de participer à une réunion qui se tiendra au mois d’octobre 2021 pour débattre des ransomware, ainsi que de la responsabilité des juridictions qui abritent des cybercriminels. 

Suite aux actions annoncées, le groupe BlackMatter craint-il un scénario à la DarkSide ou à la REvil, qui ont dû disparaître des radars, le temps que l’attention publique diminue ? Bien que ce scénario fût adopté à plusieurs reprises par le passé, de nombreux acteurs malveillants ciblent intensément la région nord-américaine et ses infrastructures critiques. À titre d’exemple, un utilisateur présent sur plusieurs espaces d’échanges cybercriminels est à la recherche d’accès initiaux à “tout type de structure gouvernementale américaine”. Il s’agit ici d’un acteur qui a antérieurement exprimé son intérêt pour le malware Raccoon Stealer et pour le ransomware Pysa, dont il pourrait éventuellement se servir lors de futures campagnes d’attaques. 

Publication d’un acteur malveillant sur un forum cybercriminel russophone dédié aux ransomware (traduit du Russe) :

 «(…) En ce moment, je suis intéressé par des accès à tout type de structure gouvernementale américaine, plus c’est gros, mieux c’est, comme les infrastructures de distribution d’électricité ou d’eau, mais également les postes de pompiers, les postes de police, les hôpitaux et l’infrastructure de la santé, les laboratoires de recherche et autres (…) Les États-Unis sont à privilégier (…)» 

Focus sur les attaquants du mois

20 groupes opérant des ransomware ont été repérés par SEKOIA.IO depuis le 1er septembre. Parmi eux, LockBit et Conti, qui revediquent la moitié des attaques à double extorsion. 

On constate le retour de REvil – le groupe qui disparaissait du Dark Web il y a plusieurs mois. Actifs à nouveau depuis le 4 septembre dernier, ses affiliés (qui seraient actuellement administrés par l’ancien développeur du ransomware) ont réussi à compromettre quatre sociétés en Allemagne, à Hong Kong et aux États-Unis. 

Nombres d’attaques revendiquées par des groupes ransomware en septembre 2021 

Un nouveau groupe s’intitulant “Atomsilo Ransomware” a fait son apparition sur le Dark Web en septembre dernier. Ses représentants communiquent en Russe et son nom, traduit du Russe, renvoie à la notion de “force nucléaire”. 

Son credo ? Atomsilo réunit ses affiliés autour d’un intérêt commun : l’argent. Attachés à une tradition qui leur est devenue chère, ils s’engagent à ne pas attaquer des infrastructures critiques afin d’éviter au maximum l’attention des autorités gouvernementales. 

Non seulement ces affirmations ne nous apprennent rien de bien nouveau, mais aussi le site Web “Atomsilo Ransomware” est la copie fidèle de celui du groupe BlackMatter. 

Une comparaison parallèle des interfaces des sites d’extorsion administrés par les groupes ransomware Atomsilo (en haut) et BlackMatter (en bas) 

Extrait du code source de la page web d’Atomsilo 

En analysant les codes sources des deux pages, on constate également que la première victime d’Atomsilo fait référence à la société “[…] Transportation”, dont les données sont hébergées sur le site du ransomware BlackMatter et dont le nom figure également dans le code de sa page Web. Il pourrait s’agir d’un oubli du développeur lors de la copie du site. 

De plus, il apparaît que les opérateurs d’Atomsilo utilisent le code et le paquetage du ransomware LockFile pour mener à bien leurs attaques, ainsi qu’une note de rançon similaire à celles envoyées par le groupe Cerber. 

Après avoir attaqué un grand laboratoire pharmaceutique brésilien le 9 septembre et exfiltré 900 Go de données sensibles, aucune nouvelle victime n’a été annoncée sur le site d’extorsion dédié. En attendant d’avoir plus de détails sur le mode opératoire du groupe, son apparition semble consolider un écosystème caractérisé par des acteurs avides de profit et moins soucieux des avancées techniques de leurs outils d’attaque, en plus d’une forte interconnexion des différents groupes malveillants. 

De l’accès initial à l’extorsion en moins d’un mois

Articulé autour d’une montée en puissance du cybercrime en général, l’écosystème des ransomware s’élargit et se professionnalise en même temps, et ce depuis plusieurs mois. Les RaaS (Ransomware-as-a-Service) notamment, se sont dotés de fournisseurs d’accès aux réseaux d’intérêt, d’analystes métier, d’opérateurs de centre d’appel – de quoi augmenter la rentabilité des opérations d’un cartel ransomware. 

Il en va de même pour le groupe opérant le ransomware AvosLocker, qui plus est très actif, via ses représentants, sur le marché de vente et d’achat d’accès aux entreprises. 

Publication d’un représentant du groupe Avos Ransomware en réponse à la mise en vente d’un accès au réseau d’une société coréenne par un membre d’un forum cybercriminel 

On a récemment pu reconstituer le chemin d’une attaque par ransomware dont le point de départ a été la compromission d’un accès à distance par un acteur malveillant spécialisé dans la compromission d’accès aux réseaux des entités du monde entier. 

De gauche à droite : (1) Annonce de mise en vente d’un accès à distance à une entreprise ; (2) Mise à jour de la publication une fois la transaction conclue ; (3) La même entreprise devient victime des tentatives d’extorsion du groupe Avos 

Entre le 29 août et le 21 septembre derniers, nous estimons qu’un affilié du groupe ransomware Avos a réussi à infiltrer le réseau de la victime et en exfiltrer des données sensibles à des fins d’extorsion. 

Bien que l’identité de l’acheteur n’ait pas pu être établie, SEKOIA.IO a identifié un acteur malveillant qui coopère avec plusieurs groupes ransomware et qui semble avoir acheté au moins un accès auprès de ce vendeur. 

Ressources et références

Ressources

Pour en savoir plus sur la menace Ransomware, voici une sélection des meilleures ressources publiées en septembre 2021 :

1. Phishing as a Ransomware Precursor 

https://cofense.com/blog/phishing-ransomware-precursor/ 

2. Researchers compile list of vulnerabilities abused by ransomware gangs 

https://www.bleepingcomputer.com/news/security/researchers-compile-list-of-vulnerabilities-abused-by-ransomware-gangs/ 

Références

Chat with our team!

Would you like to know more about our solutions? Do you want to discover our XDR and CTI products? Do you have a cyber security project in your organization? Make an appointment and meet us!

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !