Le Département d’État américain a annoncé des récompenses monétaires allant jusqu’à 10 millions de dollars pour des informations sur les personnes occupant des postes clés au sein de l’opération du ransomware Hive.
Il offre également 5 millions de dollars supplémentaires pour des détails qui pourraient conduire à l’arrestation et/ou à la condamnation de toute personne « conspirant en vue de participer ou tentant de participer à une activité de ransomware Hive ».
Les récompenses de plusieurs millions de dollars surviennent un peu plus d’un an après qu’un effort coordonné des forces de l’ordre a infiltré et démantelé secrètement l’infrastructure du darknet associée au gang du ransomware-as-a-service (RaaS) Hive. Une personne soupçonnée d’avoir des liens avec le groupe a été arrêté à Paris en décembre 2023.
Hive, apparu mi-2021, a ciblé plus de 1 500 victimes dans plus de 80 pays, générant environ 100 millions de dollars de revenus illégaux. En novembre 2023, Bitdefender a révélé qu’un nouveau groupe de ransomwares appelé Hunters International avait acquis le code source et l’infrastructure de Hive pour lancer ses propres efforts.
Il existe des preuves suggérant que les acteurs de la menace associés à Hunters International sont probablement basés au Nigeria, en particulier un individu nommé Olowo Kehinde, selon information recueillis par le chercheur en sécurité Netenrich Rakesh Krishnanbien qu’il puisse aussi s’agir d’un faux personnage adopté par les acteurs pour dissimuler leurs véritables origines.
La société d’analyse de blockchain Chainalysis, dans son étude 2023 publiée la semaine dernière, a estimé que les équipes de ransomwares ont engrangé 1,1 milliard de dollars en paiements de cryptomonnaies extorqués aux victimes l’année dernière, contre 567 millions de dollars en 2022, confirmant pratiquement que les ransomwares ont rebondi en 2023 après une baisse relative. en 2022.
« 2023 marque un retour majeur pour les ransomwares, avec des paiements record et une augmentation substantielle de la portée et de la complexité des attaques — un renversement significatif par rapport au déclin observé en 2022 », précise-t-on. dit.
Le déclin de l’activité des ransomwares en 2022 a été considéré comme une aberration statistique, le ralentissement étant attribué à la guerre russo-ukrainienne et à la perturbation de Hive. De plus, le nombre total de victimes signalées sur les sites de fuite de données en 2023 était de 4 496, contre 3 048 en 2021 et 2 670 en 2022.
Palo Alto Networks Unit 42, dans sa propre analyse des listes publiques de victimes des gangs de ransomwares sur les sites Web sombres, a désigné l’industrie manufacturière comme le secteur vertical le plus touché en 2023, suivi par les services professionnels et juridiques, la haute technologie, la vente au détail, la construction et secteurs de la santé.
Bien que l’action des forces de l’ordre ait empêché le paiement d’environ 130 millions de dollars de rançon à Hive, il est dit que le retrait « a probablement également affecté les activités plus larges des filiales de Hive, réduisant potentiellement le nombre d’attaques supplémentaires qu’elles pourraient mener ». Au total, cet effort aurait permis d’éviter au moins 210,4 millions de dollars de paiements.
En plus de l’escalade de la régularité, de l’ampleur et du volume des attaques, l’année dernière a également été témoin d’une augmentation du nombre de nouveaux entrants et de leurs rejetons, signe que l’écosystème des ransomwares attire un flux constant de nouveaux acteurs attirés par la perspective de profits élevés. et réduire les barrières à l’entrée.
Le fournisseur de cyberassurance Corvus a déclaré que le nombre de gangs de ransomwares actifs a enregistré une augmentation « significative » de 34 % entre le premier et le quatrième trimestre 2023, passant de 35 à 47, soit en raison de la fracturation et du changement de marque, soit en raison de la saisie par d’autres acteurs de chiffreurs divulgués. Vingt-cinq nouveaux groupes de ransomwares ont vu le jour en 2023.
« La fréquence des changements de marque, en particulier parmi les acteurs derrière les souches les plus importantes et les plus notoires, est un rappel important que l’écosystème des ransomwares est plus petit que le grand nombre de souches ne le laisserait croire », a déclaré Chainalysis.
Outre un changement notable vers la chasse au gros gibier, qui fait référence à la tactique consistant à cibler de très grandes entreprises pour obtenir de lourdes rançons, les paiements de rançons sont régulièrement acheminés via des ponts inter-chaînes, des échangeurs instantanés et des services de jeux d’argent, ce qui indique que les groupes de cybercriminalité sont s’éloignant lentement de échanges centralisés et les mixeurs à la recherche de nouvelles voies de blanchiment d’argent.
En novembre 2023, le département du Trésor américain a imposé des sanctions contre Sinbad, un mélangeur de devises virtuel utilisé par le groupe Lazarus, lié à la Corée du Nord, pour blanchir des fonds mal acquis. Certains des autres mélangeurs sanctionnés incluent Blender, Tornado Cash et ChipMixer.
Le tournant vers la chasse au gros gibier est également une conséquence du refus croissant des entreprises de s’installer, le nombre de victimes ayant choisi de payer étant tombé à un nouveau plus bas de 29 % au dernier trimestre 2023, selon les données de Coveware.
« Un autre facteur contribuant à l’augmentation du nombre de ransomwares en 2023 a été un changement majeur dans l’utilisation des vulnérabilités par les acteurs malveillants », Corvus ditmettant en évidence les Cl0p exploitation de failles dans Fortra GoAnywhere et Progress MOVEit Transfer.
« Si les logiciels malveillants, comme les voleurs d’informations, génèrent un afflux constant de nouvelles victimes de ransomwares, alors une vulnérabilité majeure revient à ouvrir un robinet. Avec certaines vulnérabilités, un accès relativement facile à des milliers de victimes peut se matérialiser du jour au lendemain. »
La société de cybersécurité Recorded Future a révélé que la militarisation des vulnérabilités de sécurité par les groupes de ransomwares se répartit en deux catégories claires : les vulnérabilités qui n’ont été exploitées que par un ou deux groupes et celles qui ont été largement exploitées par plusieurs acteurs malveillants.
« Magniber s’est concentré uniquement sur les vulnérabilités de Microsoft, la moitié de ses exploits uniques se concentrant sur Windows Smart Screen », indique-t-il. noté. « Cl0p s’est concentré de manière unique et tristement célèbre sur les logiciels de transfert de fichiers d’Accellion, SolarWinds et MOVEit. ALPHV s’est concentré uniquement sur les logiciels de sauvegarde de données de Veritas et Veeam. REvil s’est concentré uniquement sur les logiciels serveur d’Oracle, Atlassian et Kaseya. »
L’adaptation continue observée parmi les équipes de cybercriminalité est également mise en évidence par la hausse des infections par DarkGate et PikaBot suite au démantèlement du réseau de logiciels malveillants QakBot, qui a été la voie d’entrée initiale privilégiée dans les réseaux cibles pour le déploiement de ransomwares.
« Des groupes de ransomwares tels que Cl0p ont utilisé des exploits Zero Day contre des vulnérabilités critiques récemment découvertes, ce qui représente un défi complexe pour les victimes potentielles », Unit 42 dit.
« Bien que les données des sites de fuite de ransomwares puissent fournir des informations précieuses sur le paysage des menaces, ces données peuvent ne pas refléter avec précision l’impact total d’une vulnérabilité. Les organisations doivent non seulement être vigilantes à l’égard des vulnérabilités connues, mais elles doivent également développer des stratégies pour réagir et atténuer rapidement. l’impact des exploits du jour zéro. »