Les ransomwares continuent d'être une menace majeure de cybersécurité pour les utilisateurs individuels et les organisations publiques et privées.
Les ransomwares se sont révélés être la menace la plus insidieuse et la plus persistante qui pèse sur les utilisateurs et les entreprises du monde entier pour leur argent. Maintenant, les dernières statistiques révèlent que la demande moyenne de rançon a décuplé, ou encore plus, dans un an.
La première famille de ransomwares à changer les règles du jeu en améliorant le modèle de ransomware en tant que service était GandCrab. Les opérateurs derrière le cryptovirus infâme créé un modèle d'affaires très en profitant que d'autres ont rapidement adopté.
La toute première différence notable qui a permis à GandCrab de se démarquer est l'exposition, un vrai signe d'un modèle d'affaires en hausse. "avant GandCrab, équipes traditionnelles ransomware, dirigé par les pirates russophones ont été agissant à titre privé, silencieusement, et éviter les forums souterrains,"Un rapport Advanced Intelligence de 2019 décrit. GandCrab a transformé l'entreprise de ransomware en «opération média à part entière". l'image de marque, commercialisation, sensibilisation, et même des relations publiques (PR) manifesté dans les communications continues avec les clients, Affiliés, victimes, et les chercheurs en sécurité. Tous les éléments de la campagne étaient "méticuleusement prêt à établir un nouveau type d'entreprise de ransomware".
Ransomware exige 2018-2019
Le modèle RaaS très réussi et rentable introduit par GandCrab est devenu la norme, permettant aux acteurs de la menace de gagner plus d'argent.
Un nouveau rapport de la firme de cybersécurité Group-IB présente de nouvelles informations sur l'évolution du paysage des ransomwares en un an 2018. Peu dit, Les opérateurs de ransomware ont approuvé un plus large éventail de méthodes d'infection initiales, a augmenté la demande moyenne de rançon, et même commencé à voler des fichiers aux victimes avant le cryptage pour augmenter les chances de paiement.
Les données recueillies par les chercheurs montrent que les attaques de ransomwares l'année dernière ont augmenté de 40%. Avec l'accent mis sur des cibles plus grandes, la demande de rançon a également augmenté, variant de $6,000 à $84,000. Ryuk et REvil sont les familles de ransomwares exigeant les plus grandes rançons, également connu sous le nom de Sodinokibi.
Le paysage des ransomwares 2020
Curieusement ou non, la demande de ransomwares a continué de croître 2020. Les données de Coveware révèlent que le paiement moyen a augmenté au premier trimestre de 2020, atteindre le stupéfiant $111,605, avec ryuk et Sodinokibi étant les principaux coupables de cette augmentation.
Comment la distribution des ransomwares a-t-elle changé dans 2020?
Selon les chercheurs, attaques au volant effectuées via exploiter kits, tirer parti de RDP et autres services externes à distance, et le harponnage ont été les principaux vecteurs d’infection jusqu’ici 2020.
Il est à noter que les groupes de ransomware avancés utilisent généralement des méthodes qui leur donnent accès à des actifs plus précieux. De telles attaques exploitent généralement des vulnérabilités non corrigées dans les applications accessibles au public et les MSP compromis (les fournisseurs de services gérés). Les dernières étapes de ces attaques comprennent l'établissement de la persistance, privilèges croissants, contournement des protections, obtenir divers pouvoirs, cartographie des réseaux, voler des fichiers, puis les chiffrer.
La plupart des lecteurs de ransomware, y compris les grandes familles comme Ryuk, LockerGoga, Sodinokibi, Labyrinthe, et Netwalker optent pour des tactiques communes d'intrusion, comme RDP. La raison est simple - l'accès aux serveurs avec un port ouvert est une tâche facile, car il peut être obtenu sur les marchés souterrains.
Ransomware dans 2021
Comment le paysage des menaces de ransomware a-t-il évolué jusqu'à présent dans 2021?
Selon Forbes, le montant moyen des transactions de ransomware signalées par mois en 2021 a été estimée à la stupéfiante $102.3 million. Sur la base des données SAR, les chercheurs en sécurité ont déclaré avoir identifié 68 différentes variantes de ransomware actives dans la première moitié de 2021. Les variantes de ransomware les plus fréquemment signalées pour cette période comprennent REvil / Sodinokibi, Conti, Côté obscur, Avaddon, et phobos.
Tirer parti des MSP était définitivement à la mode 2019. Selon un rapport Armor publié en octobre de l'année dernière, au moins 13 les fournisseurs de services gérés (MSPs) ont été attaqués par ransomware.
En raison de la nature d'une société MSP, les attaques sur leurs infrastructures ont généralement beaucoup de résultats négatifs. Un fournisseur de services gérés gère l'infrastructure informatique d'autres entreprises par l'intermédiaire d'outils d'administration à distance. Il y a plusieurs raisons entreprises décident d'embaucher un MSP, tels que réduisant les dépenses pour les administrateurs système.
Afin de compter sur les services d'un MSP, l'entreprise doit installer le logiciel du MSP, permettant ainsi l'accès à distance au réseau de l'entreprise. Cela pourrait créer une responsabilité, et comme visible par le nombre de MSP compromis, les pirates ont trouvé un moyen d'exploiter ce modèle d'affaires. Armure a pu identifier 6 de nouveaux projets de moyenne envergure et / ou les fournisseurs de services basés sur le cloud qui ont été compromises par ransomware. Plus tôt dans 2019, le cabinet d'intelligence menace découverte 9 d'autres attaques, totalisant le nombre de victimes MSP de ransomware en 2019 à 13.