Une augmentation des incidents de rançongiciels « sophistiqués et à fort impact » constitue une menace croissante pour les organisations d’infrastructures critiques, avertissent les agences gouvernementales occidentales.

Le National Cyber ​​Security Center (NCSC) du Royaume-Uni, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et l’Australian Cyber ​​Security Center ont publié une conseil conjoint (PDF) mercredi qui a mis en évidence l’évolution des techniques déployées par les cybercriminels et la maturité croissante du modèle commercial du ransomware-as-a-service.

Les attaquants utilisent depuis longtemps une combinaison de phishing, d’informations d’identification RDP (Remote Desktop Protocol) volées et de vulnérabilités pour implanter des rançongiciels de cryptage de fichiers et exiger un paiement en échange de clés de décryptage.

Plus récemment, des cybercriminels ont menacé de divulguer des informations sensibles si les demandes de rançon n’étaient pas satisfaites. D’autres tactiques incluent le ciblage des organisations pendant les week-ends et les jours fériés, lorsque les gardes peuvent être moins nombreux et les temps de réponse plus lents.

Attaques consécutives

Dans leur avis, les agences rapportent que les colporteurs de ransomwares ont commencé à partager entre eux des informations sur les victimes, diversifiant la menace pour les organisations ciblées :

Par exemple, après avoir annoncé sa fermeture, le groupe de rançongiciels BlackMatter a transféré ses victimes existantes vers une infrastructure appartenant à un autre groupe, connu sous le nom de Lockbit 2.0. En octobre 2021, les acteurs du rançongiciel Conti ont commencé à vendre l’accès aux réseaux des victimes, permettant des attaques de suivi par d’autres acteurs de la cybermenace.

Les groupes de ransomwares ont accru leur impact en ciblant les fournisseurs de services gérés et d’infrastructure cloud, selon le NCSC et d’autres membres de l’alliance de partage d’informations Five Eyes.

« Les développeurs de ransomwares ont ciblé les infrastructures cloud pour exploiter les vulnérabilités connues dans les applications cloud, les logiciels de machines virtuelles et les logiciels d’orchestration de machines virtuelles », selon l’avis conjoint.

« Les acteurs de la menace de ransomware ont également ciblé les comptes cloud, les interfaces de programmation d’applications (API) cloud et les systèmes de sauvegarde et de stockage de données pour refuser l’accès aux ressources cloud et chiffrer les données. »

EN RELATION La Maison Blanche ordonne aux agences fédérales de relever la barre de la cybersécurité pour les systèmes de sécurité nationale

Au cours du premier semestre 2021, les autorités américaines ont enregistré des tentatives d’auteurs de ransomwares visant à cibler de grandes organisations dans des attaques de haut niveau. Les victimes comprenaient le Colonial Pipeline, JBS Foods et Kaseya.

Les groupes de rançongiciels ont subi des perturbations de la part des autorités américaines à la mi-2021. En conséquence, les malfaiteurs redirigent les efforts de ransomware loin du « gros gibier » et vers des victimes de taille moyenne, en particulier aux États-Unis.

Affaires changeantes

Ce changement d’orientation est source de problèmes pour les organisations de milieu de gamme, ont averti les experts de l’industrie.

Chris Boyd, chercheur principal sur les menaces chez Malwarebytes, a commenté : « Le passage des cibles dites de « gros gibier » à des entités plus petites en raison de la génération excessive de chaleur provenant d’épidémies majeures de ransomwares pourrait causer des problèmes aux PME, car les groupes de ransomwares redoublent d’efforts. sur les organisations qui n’ont peut-être pas le budget de sécurité nécessaire pour résister à des attaques soutenues et agressives.

« Une grande partie de ce qui est dans le rapport de la CISA se lit comme une continuation des attaques de ces dernières années, avec un accent sur les informations d’identification RDP volées et le phishing pour prendre pied dans le réseau ainsi que le ciblage des MSP pour potentiellement compromettre plusieurs cibles à la fois », a ajouté Boyd. .

Des organisations britanniques et australiennes ont signalé que des entreprises de toutes tailles continuent d’être la cible d’attaques de ransomwares.

Les représentants de l’industrie ont dit La gorgée quotidienne que Hive, Sodinokibi (AKA REvil), Conti, Phobos et Khonsari sont parmi les souches de ransomware les plus courantes en volume à l’heure actuelle.

« En termes de volume / soumissions sur le terrain, ce sont les cinq premiers, mais gardez à l’esprit que certains des chasseurs de gros gibier n’auront pas le volume », Raj Samani, scientifique en chef chez Trellix, expliqué.

Dans leur avis conjoint, les agences de renseignement offrent des conseils sur la prévention des attaques. Cela inclut la segmentation des réseaux, la réalisation de sauvegardes régulières, l’application de correctifs, la surveillance du réseau et le renforcement des contrôles d’authentification, entre autres améliorations de la sécurité.