Une fortune 50 l'entreprise aurait payé un montant record $75 une rançon d'un million de dollars au gang de ransomware Dark Angels, selon Zscaler ThreatLabz.
Ce paiement dépasse le précédent record de $40 million, payé par le géant de l'assurance CNA après une Attaque de ransomware Evil Corp.
L'attaque des Dark Angels et ses conséquences
Au début 2024, Zscaler ThreatLabz a identifié une victime qui avait payé une lourde rançon aux Dark Angels, Il s'agit du montant de rançon le plus élevé connu publiquement à ce jour. Cet incident, détaillé dans le 2024 Rapport sur le ransomware Zscaler, devrait attirer l'attention d'autres cybercriminels désireux d'imiter les Dark Angels’ réussir en adoptant leurs tactiques clés.
Une confirmation supplémentaire de ce paiement est venue de la société de renseignement cryptographique Chainalysis, qui a partagé l'information dans un tweet. Malgré le paiement massif, Zscaler n'a pas révélé l'entreprise spécifique impliquée, notant seulement que c'était une Fortune 50 ferme.
Le géant pharmaceutique Cencora, classé #10 sur la Fortune 50 liste, a subi une cyberattaque en février 2024. Aucun groupe de ransomware n'a revendiqué la responsabilité de cette attaque, suggérant qu'une rançon a peut-être été payée. BleepingComputer a contacté Cencora pour obtenir des commentaires concernant un éventuel paiement de rançon aux Dark Angels, mais n'a pas encore reçu de réponse.
Groupe des Dark Angels: Une menace croissante
Lancé en mai 2022, Les Dark Angels se sont rapidement fait un nom en ciblant les entreprises du monde entier. Fonctionnant comme de nombreux gangs de ransomware dirigés par des humains, Les Dark Angels s'attaquent aux réseaux d'entreprise, se déplace latéralement pour obtenir un accès administratif, et vole des données à partir de serveurs compromis. Ces données volées servent de levier supplémentaire pour leurs demandes de rançon.
Initialement, Les Dark Angels ont utilisé Windows et VMware ESXi des crypteurs basés sur le code source divulgué du ransomware Babuk. Heures supplémentaires, ils sont passés à un crypteur Linux, utilisé précédemment par Casier de Ragnar avant que les forces de l'ordre ne le perturbent 2023. Ce crypteur a notamment été utilisé dans une attaque contre Johnson Controls, où les Dark Angels prétendaient avoir volé 27 To de données et demandé $51 million.
Tactiques et opérations
Les Dark Angels se distinguent par une stratégie connue sous le nom de “Chasse au gros gibier,” cibler quelques entreprises à forte valeur ajoutée plutôt qu'un grand nombre de plus petites. Cette approche vise à obtenir des paiements massifs à partir d'un seul, attaques à grande échelle.
“Le groupe Dark Angels utilise une approche très ciblée, attaquant généralement une seule grande entreprise à la fois,” expliquent les chercheurs de Zscaler ThreatLabz. Cela contraste avec la plupart des groupes de ransomware qui ciblent les victimes sans discrimination et s'appuient sur des réseaux affiliés de courtiers d'accès initiaux et d'équipes de tests de pénétration..
Dark Angels exploite également un site de fuite de données appelé « Dunghill Leaks »,’ où ils menacent de publier des données volées si leurs demandes de rançon ne sont pas satisfaites. Cette méthode d’extorsion augmente la pression sur les victimes pour qu’elles se conforment.
“Chasse au gros gibier” une tendance croissante
Selon Chainalysis, La tactique de la chasse au gros gibier est devenue de plus en plus populaire parmi les gangs de ransomware ces dernières années. Le paiement record de la rançon aux Dark Angels est susceptible de renforcer cette tendance, encourager d’autres cybercriminels à adopter des méthodes similaires dans l’espoir d’obtenir un succès comparable.
Alors que les attaques de ransomware continuent d'évoluer et de s'intensifier, L'incident impliquant les Dark Angels sert de rappel brutal de la menace croissante posée par les organisations cybercriminelles sophistiquées. Les entreprises doivent rester vigilantes, investir dans des mesures de cybersécurité robustes pour se protéger contre de telles attaques à enjeux élevés.
Plus d'informations sur le rapport: Principales familles de ransomwares
Zscaler’ Le rapport met également en évidence les groupes de ransomware les plus actifs au cours de l'année écoulée, avec Verrouillage menant à 22.1% des attaques, suivi par Chat noir (9.2%) et 8Base (7.9%).
De nouveaux groupes de ransomware sont également apparus, y compris RAworld, Abîme, Anges noirs, et RansomHub, chacun d'entre eux commençant à publier des données sur des sites de fuite dans le cadre de leurs tactiques d'extorsion. Figure 9 fournit une chronologie de ces nouveaux groupes’ activités.