Unité de Palo Alto 42 des chercheurs ont mis en lumière quatre groupes émergents de ransomware qui ont fait la une des journaux cette année. La découverte intervient après une recherche et une analyse approfondies du sous-sol, y compris des sites de fuites Web et des sites d'oignons frais.
Ces opérateurs de ransomware-as-a-service constituent une menace réelle pour les réseaux d'entreprise et d'organisation, ainsi que des infrastructures critiques. Comme leur modèle d'affaires est construit sur une base « as-a-service », ces groupes recherchent actuellement des affiliés.
Groupe de rançongiciels AvosLocker
D'après Palo Alto, ce RaaS a démarré ses activités fin juin. Il peut être reconnu par le logo du scarabée bleu que les acteurs de la menace utilisent dans leurs communications avec les victimes et les communiqués de presse pour recruter de nouveaux affiliés.
« AvosLocker a été observé en train de promouvoir son programme RaaS et de rechercher des affiliés sur des forums de discussion sur le dark web et d'autres forums.. Comme beaucoup de ses concurrents, AvosLocker offre un support technique pour aider les victimes à récupérer après avoir été attaquées avec un logiciel de chiffrement que le groupe prétend être « infaillible ».,” a de faibles taux de détection et est capable de gérer des fichiers volumineux. Ce ransomware a également un site d'extorsion, qui prétend avoir impacté six organisations dans les pays suivants: les Etats Unis., la Grande-Bretagne., les Emirats Arabes Unis, Belgique, Espagne et Liban. Nous avons observé des demandes de rançon initiales allant de $50,000 à 75 000 $ », l'unité de Palo Alto 42 dit.
Ransomware Hive
Ce groupe de ransomware est connu pour son jeu de double extorsion qui a débuté en juin. Il semble que depuis lors Ransomware Hive a attaqué 28 organisations actuellement répertoriées sur son site d'extorsion. Les victimes comprennent une compagnie aérienne européenne et trois États-Unis. organisations.
Le gang de ransomware utilise plusieurs outils de la « jeu d'outils d'extorsion » pour faire pression sur la victime pour qu'elle paie, compte à rebours inclus, date du compromis initial, date de la fuite sur leur site, et la possibilité de partager la fuite sur les réseaux sociaux.
HelloKitty Ransomware
Apparemment, HelloKitty n'est pas un nouveau groupe de ransomware, car il peut être retracé à 2020. Il cible principalement les systèmes Windows, mais une variante Linux a été détectée en juillet ciblant l'hyperviseur ESXi de VMware.
Ce n'est pas le seul groupe de ransomware exploitant l'hyperviseur ESXi de VMware. En Février 2021, Opérateurs RansomExx utilisé CVE-2019-5544 et CVE-2020-3992 dans VMware ESXi. L'appareil est un hyperviseur permettant à plusieurs machines virtuelles de partager le même stockage sur disque dur. Il y avait également des indications que le gang de ransomware Babuk Locker menait également des attaques basées sur un scénario similaire.
Verrouillage 2.0 Ransomware
Il s'agit d'un acteur bien connu dans le domaine du ransomware-as-a-service, qui existe depuis au moins 3 ans. Prétendant avoir l'un des cryptages les plus rapides du marché, Verrouillage 2.0 a eu un impact sur plusieurs secteurs, avec 52 les victimes écoutent sur son site de fuite. Les victimes comprennent des organisations aux États-Unis., Mexique, Belgique, Argentine, Malaisie, Australie, Brésil, Suisse, Allemagne, Italie, Autriche, Roumanie et Royaume-Uni, selon les données de l'Unité 42.
Plus tôt ce mois-ci, le LockBit 2.0 un gang frappe Accenture, une société mondiale de conseil en affaires. Les cybercriminels ont affiché le nom et le logo de l'entreprise. Les clients d'Accenture comprennent 91 noms de Fortune Global 100, et au moins les trois quarts du Fortune Global 500. Certains de ses clients sont Alibaba, Google et Cisco. C'est l'une des principales sociétés de conseil en technologie au monde, avec plus de 500,000 employés à travers 50 pays.
« Avec les principaux groupes de ransomwares tels que REvil et Darkside qui font profil bas ou qui changent de marque pour échapper à la chaleur des forces de l'ordre et à l'attention des médias, de nouveaux groupes émergeront pour remplacer ceux qui ne ciblent plus activement les victimes,” Unité de Palo Alto 42 conclu.
Une autre tendance à laquelle il convient de prêter attention est celle des opérateurs de ransomware’ efforts récents pour recruter des employés de l'entreprise. Selon un rapport d'Abnormal Security, un acteur nigérian tente de recruter les employés d'une organisation pour déployer le ransomware Black Kingdom pour une part des bénéfices de la rançon.