Les groupes de ransomwares se tournent de plus en plus vers le chiffrement à distance dans leurs attaques, marquant une nouvelle escalade des tactiques adoptées par des acteurs motivés financièrement pour assurer le succès de leurs campagnes.
« Les entreprises peuvent avoir des milliers d’ordinateurs connectés à leur réseau, et avec les ransomwares à distance, il suffit d’un seul appareil sous-protégé pour compromettre l’ensemble du réseau », Mark Loman, vice-président de la recherche sur les menaces chez Sophos. dit.
« Les attaquants le savent, alors ils recherchent ce ‘point faible’ – et la plupart des entreprises en ont au moins un. Le cryptage à distance va rester un problème récurrent pour les défenseurs. »
Le chiffrement à distance (ou ransomware à distance), comme son nom l’indique, se produit lorsqu’un point de terminaison compromis est utilisé pour chiffrer des données sur d’autres appareils du même réseau.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
En octobre 2023, Microsoft révélé qu’environ 60 % des attaques de ransomware impliquent désormais un chiffrement malveillant à distance dans le but de minimiser leur empreinte, avec plus de 80 % de toutes les compromissions provenant d’appareils non gérés.
« Les familles de ransomwares connues pour prendre en charge le chiffrement à distance incluent Akira, ALPHV/BlackCat, BlackMatter, LockBit et Royal, et c’est une technique qui existe depuis un certain temps – dès 2013, CryptoLocker ciblait les partages réseau », a déclaré Sophos.
Un avantage significatif de cette approche est qu’elle rend inefficaces les mesures correctives basées sur les processus et que les machines gérées ne peuvent pas détecter l’activité malveillante puisqu’elle n’est présente que sur un appareil non géré.
Cette évolution intervient dans un contexte de changements plus larges dans le paysage des ransomwares, les acteurs de la menace adoptant des langages de programmation atypiques, ciblant au-delà des systèmes Windows, mettant aux enchères les données volées et lançant des attaques après les heures de bureau et le week-end pour contrecarrer les efforts de détection et de réponse aux incidents.
Sophos, dans un rapport publié la semaine dernière, a souligné la « relation symbiotique – mais souvent difficile – » entre les gangs de ransomwares et les médias, comme un moyen non seulement d’attirer l’attention, mais aussi de contrôler le récit et de contester ce qu’ils considèrent comme une couverture inexacte. .
Cela s’étend également à la publication de FAQ et de communiqués de presse sur leurs sites de fuite de données, incluant même des citations directes des opérateurs, et à la correction des erreurs commises par les journalistes. Une autre tactique consiste à utiliser des noms accrocheurs et des graphiques soignés, indiquant une évolution de la professionnalisation de la cybercriminalité.
« Le groupe RansomHouse, par exemple, a un message sur son site de fuite spécifiquement destiné aux journalistes, dans lequel il propose de partager des informations sur une ‘chaîne PR Telegram’ avant qu’elles ne soient officiellement publiées », Sophos noté.
Alors que les groupes de ransomwares comme Conti et Pysa sont connus pour adopter une hiérarchie organisationnelle comprenant des cadres supérieurs, des administrateurs système, des développeurs, des recruteurs, des ressources humaines et des équipes juridiques, il existe des preuves suggérant que certains ont annoncé des opportunités pour des écrivains et des anglophones sur des forums criminels.
« L’engagement des médias offre aux gangs de rançongiciels des avantages à la fois tactiques et stratégiques ; il leur permet d’exercer une pression sur leurs victimes, tout en leur permettant également de façonner le récit, de gonfler leur propre notoriété et leur ego, et de se « mythifier » davantage », a déclaré la société. .