Pleins feux sur les attaques de ransomware actuelles et émergentes

La nouvelle étude de Coveware montre que céder aux menaces de ransomware pourrait conduire à davantage d'attaques de ransomware et à des attaques plus complexes.

Dans une étude publiée lundi, la société de sécurité a déclaré que les paiements de rançon moyens et médians avaient augmenté au premier trimestre de cette année, et il semble que certains groupes de ransomware aient utilisé l'argent qu'ils ont gagné pour acheter de meilleurs moyens d'entrer dans les organisations. Au premier trimestre, Coveware a constaté une baisse des faux e-mails et une augmentation des abus des vulnérabilités logicielles. Selon l'étude, les exploits les plus courants étaient des failles connues dans les produits VPN Fortinet et Pulse Secure.

Dans l’ensemble, le montant moyen des attaques de ransomware a augmenté de 43 %, passant de 154 108 $ au quatrième trimestre 2020 à 220 298 $ au premier trimestre 2021. Au premier trimestre, le montant moyen a augmenté de plus de 50 % pour atteindre 78 398 $.

L'étude indique que de nombreux groupes de menaces, comme ceux à l'origine de Sodinokobi, Conti V2 et Lockbit, ont dépassé la moyenne et la médiane. Mais le ransomware Clop, en particulier, a été très actif au premier trimestre et a touché de nombreuses personnes avec des demandes de paiement très élevées.

Coveware a déclaré que céder à ces demandes donne aux gens un faux sentiment de sécurité, conduit à des effets inattendus et crée des obligations futures.

Alors, qu'est-ce que cela signifie ? Quelles sont les attaques de ransomware actuelles et émergentes auxquelles il faut prêter attention ? Consultez ce livre blanc pour en savoir plus.

Comprendre ce que sont WannaCry et DearCry

Ransom: Win32/DoejoCrypt.A, également connu sous le nom de « DearCry », est une nouvelle famille de ransomware qui a infecté plusieurs organisations via plusieurs vulnérabilités zero-day dans les versions locales de Microsoft Exchange Server. Ces vulnérabilités ont d'abord été utilisées par différents acteurs malveillants, notamment un groupe d'États-nations chinois, pour attaquer des organisations.

Le premier signalement de DearCry a été fait mardi par Michael Gillespie. Il est l'auteur du service gratuit de suivi des ransomwares de cybersécurité ID Ransomware. Jeudi, il a tweeté qu'une nouvelle version avec les marques de fichier « DEARCRY ! » était envoyée dans le système ID Ransomware à partir des serveurs Exchange.

Gillespie a déclaré que jusqu'à jeudi, ID Ransomware avait reçu des signalements de DearCry provenant de six adresses IP aux États-Unis, au Canada et en Australie. MalwareHunterTeam, un groupe de chercheurs en sécurité qui travaille avec ID Ransomware, a déclaré dans un tweet avoir également reçu des informations de personnes en Autriche et au Danemark qui avaient été touchées.

Jeudi soir, BleepingComputer a publié un rapport sur le ransomware de cybersécurité. Le rapport d'attaque du ransomware l'a lié aux failles de Microsoft Exchange Server, dont la plus dangereuse est ProxyLogon. Plus tard dans la soirée, Microsoft Security Intelligence a envoyé un tweet qui constituait sa première réponse claire à DearCry.

Malware Black Kingdom en changeant le mot de passe Mega

Les attaques récentes de ProxyLogon contre les serveurs Microsoft Exchange ont permis de détecter le ransomware Black Kingdom. Un simple changement de mot de passe l'a stoppé, au moins temporairement. Brett Callow, chercheur en sécurité chez Emsisoft, a déclaré à SearchSecurity que Black Kingdom avait créé des clés de chiffrement et les avait envoyées au site de stockage en nuage Mega. Mais, a-t-il ajouté, si l'attaque par ransomware ne parvient pas à atteindre Mega, elle utilisera à la place une clé statique locale. Lors des récentes attaques, Black Kingdom ne semblait pas être en mesure de sécuriser les ordinateurs qu'il recherchait et, dans certains cas, il utilisait la clé statique à la place.

« Quelqu'un a changé le mot de passe du compte Mega, donc le ransomware ne peut pas y accéder et recommence à utiliser la clé codée en dur », a déclaré Callow. « Comme nous disposons de la clé codée en dur, nous pouvons peut-être aider les gens à récupérer leurs données. »

On ne sait pas exactement quand le mot de passe a été changé, mais Callow en a informé SearchSecurity lundi matin. SearchSecurity a décidé de ne pas publier l'information immédiatement afin que les acteurs de la menace Black Kingdom ne sachent pas que l'attaque par ransomware avait été stoppée.

Mark Loman, responsable de l'ingénierie des technologies de nouvelle génération chez Sophos, a écrit mardi un article de blog sur les ransomwares de cybersécurité. Il y explique comment ils fonctionnent avec Mega. Loman a expliqué à SearchSecurity qu'il est possible de les décoder avec la même clé statique pour les sécuriser. Il a également déclaré avec certitude que le logiciel ne peut pas se connecter à Mega.

Téléchargez le livre blanc de Tech Target pour en savoir plus sur Spotlight on Current & Emerging Ransomware Threats uniquement sur Whitepapers Online.