Les chercheurs de Kaspersky Lab ont découvert une tendance émergente et pour le moins alarmante :

  • un nombre croissant de cybercriminels délaisse les attaques menées contre les utilisateurs privés, pour cibler les entreprises par le biais de ransomwares. Au moins huit groupes de cybercriminels impliqués dans le développement et la distribution de cryptoransomwares ont ainsi été identifiés. Les attaques ont essentiellement frappé des organisations financières du monde entier. Selon les experts de Kaspersky Lab, la demande de rançon peut dépasser 500 000 dollars.

Parmi les huit groupes figurent les auteurs de PetrWrap qui ont attaqué des organisations financières partout dans le monde, le tristement célèbre groupe Mamba, et six groupes non identifiés qui visent également des utilisateurs professionnels. La raison de cette nouvelle tendance est claire : les demandes de rançons visant les entreprises seraient potentiellement plus rentables que les attaques menées en masse contre des utilisateurs privés. En effet, une attaque par ransomware fructueuse peut facilement entraîner l’indisponibilité des processus métier d’une entreprise pendant plusieurs heures, voire plusieurs jours, de sorte que les dirigeants concernés seront davantage enclins à verser la somme exigée. En règle générale, les tactiques, techniques et procédures utilisées par ces groupes sont similaires :

  • ils profitent de la vulnérabilité des serveurs ou procèdent à une attaque de phishing pour infecter l’entreprise ciblée avec un malware. Ensuite, ils établissent une « persistance » (peut atteindre 6 mois) dans le réseau de leur victime et identifient les précieuses ressources de l’entreprise en vue de les chiffrer et de les rendre inopérantes dans l’attente du versement de la rançon. Au-delà de leurs similitudes, certains groupes présentent des caractéristiques spécifiques.

C’est le cas du groupe Mamba qui utilise son propre malware de chiffrement, basé sur le logiciel Open Source DiskCryptor. Après avoir pris pied dans le réseau de l’entreprise, les attaquants installent le logiciel de chiffrement en utilisant un utilitaire légal pour prendre le contrôle de Windows à distance. Grâce à cette approche, les actions semblent moins suspectes aux yeux des agents de sécurité de l’entreprise visée. Les chercheurs de Kaspersky Lab ont découvert des cas où le montant de la rançon s’élevait à un bitcoin par point d’accès déchiffré (soit approximativement 1 000 dollars à fin mars 2017).

  • « Les attaques ciblées par ransomware sont une menace croissante qui provoque des pertes financières significatives pour les entreprises. Cette tendance est extrêmement préoccupante, les cybercriminels ont lancé une croisade contre de nouvelles victimes encore plus rentables. Les cibles potentielles sont très nombreuses, et les attaques qu’elles subiront auront des conséquences encore plus désastreuses », a déclaré Anton Ivanov, chercheur senior en sécurité chez Kaspersky Lab.

Une grande prudence doit donc être toujours de rigueur sur ce sujet sensible !