2023 a t une grande anne pour les groupes de ransomwares, mme si les forces de l’ordre du monde entier ont continu svir contre les attaquants. Un rapport fait tat d’une augmentation de 49 % du nombre de victimes signales par les sites de fuite de ransomware.
L’unit 42 de Palo Alto Networks, la socit de renseignement sur les menaces, a constat une augmentation de 49 % du nombre de victimes signales par les sites de fuite de ransomwares, soit un total de prs de 4 000 messages sur ces sites provenant de diffrents groupes de ransomwares. Selon l’Unit 42, cette hausse est due l’impact massif des attaques qui exploitent des vulnrabilits de type « zero-day« , c’est–dire des failles de scurit que les dveloppeurs n’ont pas encore identifies. Prs de la moiti des victimes de ransomware identifies par l’Unit 42 se trouvaient aux tats-Unis, les secteurs les plus touchs tant l’industrie manufacturire, les services professionnels et juridiques et la haute technologie.
L’anne dernire, l’Unit 42 a identifi 25 nouveaux sites de fuites proposant des ransomwares en tant que services. Mais au moins cinq d’entre eux semblent avoir ferm, car ils n’ont pas publi de nouveaux messages au cours du second semestre de l’anne. Selon l’Unit 42, les quelque deux douzaines de nouveaux sites reprsentaient 25 % du nombre total de messages relatifs aux ransomwares en 2023.
Sites de fuite et base de donnes
L’analyse de l’Unit 42 est base sur des donnes provenant de sites de fuites de ransomwares, parfois connus sous le nom de sites de fuites ddis et abrgs en DLS (dedicated leak sites).
Les sites de fuite de ransomware sont apparus pour la premire fois en 2019, lorsque le ransomware Maze a commenc utiliser une double tactique d’extorsion. Volant les fichiers d’une victime avant de les chiffrer, Maze a t le premier groupe de ransomware connu crer un site de fuite pour contraindre une victime et divulguer les donnes voles.
Ces acteurs de la menace poussent les victimes payer – non seulement pour dchiffrer leurs fichiers, mais aussi pour empcher les attaquants d’exposer publiquement leurs donnes sensibles. Depuis 2019, les groupes de ransomware ont de plus en plus adopt les sites de fuite dans le cadre de leurs oprations.
L’quipe de l’Unit 42 surveille les donnes de ces sites, souvent accessibles via le dark web, et examine ces donnes pour identifier les tendances. Comme les sites de fuite sont dsormais monnaie courante parmi la plupart des groupes de ransomwares, les chercheurs utilisent souvent ces donnes pour dterminer les niveaux globaux d’activit des ransomwares et prciser la date laquelle un groupe de ransomwares spcifique a t actif pour la premire fois.
Toutefois, les dfenseurs doivent utiliser les donnes relatives aux sites de fuite avec prudence, car elles ne refltent pas toujours la ralit. Un groupe de ransomwares peut commencer sans site de fuite pendant qu’il construit son infrastructure et tend ses oprations. En outre, si une victime offre un paiement immdiat, l’incident de ransomware peut ne pas apparatre sur le site de fuite d’un groupe. Par consquent, les sites de fuite ne donnent pas toujours une image claire et prcise des activits d’un groupe de ransomwares. L’ampleur relle de l’impact des ransomwares peut tre diffrente de ce que ces sites suggrent.
Malgr ces inconvnients, les donnes tires des sites de fuite de ransomwares fournissent des informations prcieuses sur l’tat des oprations de ransomwares en 2023.
Principale conclusion
L’ensemble des donnes compiles rvle l’essor et le dclin des groupes de ransomwares en 2023, ainsi que les secteurs d’activit touchs et la rpartition gographique des attaques. Plus important encore, le volume d’activit des ransomwares reflte l’impact grande chelle des exploits « zero-day » ciblant des vulnrabilits critiques.
Vulnrabilits critiques
En 2023, Unit 42 a observ 3 998 messages provenant de sites de fuites de ransomwares, contre 2 679 messages en 2022. Cela reprsente une augmentation d’environ 49 % pour l’anne.
L’augmentation de l’activit peut probablement tre attribue aux exploits « zero-day » ciblant des vulnrabilits critiques telles que CVE-2023-0669 pour GoAnywhere MFT ou CVE-2023-34362, CVE-2023-35036 et CVE-2023-35708 pour l’injection SQL de MOVEit Transfer.
CL0P s’est attribu la paternit de l’exploitation de la vulnrabilit du transfert MOVEit. En juin 2023, l’Agence amricaine pour la cyberscurit et les infrastructures (CISA) a estim que TA505, un groupe connu pour exploiter le ransomware CL0P, avait compromis plus de 3 000 organisations bases aux tats-Unis et environ 8 000 victimes dans le monde. L’ampleur de ces attaques a contraint les organisations vulnrables raccourcir leurs dlais de raction afin de pouvoir contrer efficacement la menace. Cependant, le volume de donnes provenant des sites web compromis a galement oblig les groupes de ransomware s’adapter.
Par exemple, le groupe de ransomwares CL0P a mis jour ses tactiques d’extorsion en 2023. En milieu d’anne, CL0P utilisait les torrents pour distribuer les donnes voles – une mthode plus rapide et plus efficace que l’hbergement des donnes voles sur le site Web Tor du groupe. Unit 42 a dj signal cette activit en septembre 2023, et leur rapport fournit des informations importantes sur les rcentes oprations de ransomware de CL0P.
CL0P n’tait pas le seul groupe exploiter des vulnrabilits critiques. Des groupes de ransomwares comme LockBit, Medusa, ALPHV (BlackCat) et d’autres ont exploit la vulnrabilit CVE-2023-4966 de Citrix Bleed, ce qui a conduit de nombreuses compromissions par ces groupes en novembre 2023.
Lorsque l’on examine le nombre de compromissions signales par les sites de fuite de ransomware en 2023, mois par mois, on constate une augmentation des compromissions au cours de certains mois. Ces augmentations correspondent plus ou moins aux dates auxquelles les groupes de ransomwares ont commenc exploiter des vulnrabilits spcifiques.
Tous les acteurs de la menace des ransomwares ne sont pas capables d’exploiter des vulnrabilits de type « zero-day ». Certains groupes de ransomwares sont dirigs par des acteurs inexpriments qui exploitent tout ce qui est leur disposition.
Par exemple, un groupe inconnu de ransomwares a cibl les environnements VMware ESXi au cours d’une campagne surnomme ESXiArgs. Cette campagne exploitait la vulnrabilit CVE-2021-21974, qui datait dj de deux ans au moment des attaques.
Selon la CISA, ESXiArgs a touch plus de 3 800 serveurs. Les campagnes de ce type ne sont gnralement pas publies sur les sites de fuite de ransomwares, car les acteurs de la menace sont intresss par un paiement rapide au lieu d’extorquer les victimes pour obtenir un impact maximal ou de vendre leurs donnes. Mme si ces groupes utilisent des exploits plus anciens, leurs campagnes peuvent avoir autant d’impact que les efforts dploys par des acteurs plus expriments dans le domaine des ransomwares.
Qu’ils soient expriments ou non, les acteurs de la menace des ransomwares sont apparus et ont disparu dans un paysage de menaces en constante volution.
Secteurs d’activit touchs
Certains groupes de ransomwares peuvent se concentrer sur des pays ou des secteurs d’activit spcifiques, mais la plupart sont opportunistes et cherchent avant tout faire du profit. Par consquent, de nombreux groupes de ransomwares compromettent des organisations dans plusieurs secteurs d’activit.
Les messages posts sur les sites de fuites en 2023 rvlent que l’industrie manufacturire a t la plus touche par les ransomwares, avec 14 % du total des messages.
Pourquoi l’industrie manufacturire a-t-elle t la plus touche par les ransomwares ? Les entreprises manufacturires n’ont gnralement qu’une visibilit limite sur leurs systmes de technologie oprationnelle (OT), ne surveillent pas suffisamment leur rseau et ne mettent pas toujours en uvre les meilleures pratiques en matire de scurit.
Impact gographique
Les donnes des sites de fuites rvlent que la plupart des victimes en 2023 taient bases aux tats-Unis, avec 47,6 % du total des messages. Le Royaume-Uni arrive en deuxime position (6,5 %), suivi du Canada (4,6 %) et de l’Allemagne (4 %). La figure suivante prsente un diagramme secteurs montrant les lieux les plus touchs.
Les organisations amricaines ont t la principale cible des ransomwares depuis l’apparition des sites de fuite en 2019. Les tats-Unis reprsentent une cible trs attrayante, en particulier lorsqu’on examine le Forbes Global 2000, qui classe les plus grandes entreprises du monde en fonction de leur chiffre d’affaires, de leurs bnfices, de leurs actifs et de leur valeur marchande. En 2023, les tats-Unis reprsentaient 610 de ces organisations, soit prs de 31 % du Forbes Global 2000, ce qui indique une forte concentration de cibles fortunes.
Bien que les groupes de ransomware aient tendance cibler des rgions riches comme les tats-Unis, cette menace reste un problme mondial rpandu. Les donnes du site de fuite de 2023 rvlent que les victimes proviennent d’au moins 120 pays diffrents.
Conclusion
En 2023, le paysage des ransomwares tait florissant et en pleine volution, comme en tmoignent les messages publis sur les sites de fuite de ransomwares. Les messages de ces sites indiquent une augmentation notable de l’activit, et ces donnes refltent galement l’apparition de nouveaux groupes de ransomwares et le dclin de groupes existants. Bien que le paysage reste fluide, l’efficacit croissante des forces de l’ordre dans la lutte contre les ransomwares est un signe de changement bienvenu.
Les groupes de ransomwares tels que CL0P ont utilis des exploits de type « zero-day » contre des vulnrabilits critiques rcemment dcouvertes, ce qui reprsente un dfi complexe pour les victimes potentielles. Si les donnes relatives aux sites de fuite de ransomwares peuvent fournir des informations prcieuses sur le paysage des menaces, elles ne refltent pas toujours avec prcision l’impact total d’une vulnrabilit. Les organisations doivent non seulement tre vigilantes l’gard des vulnrabilits connues, mais aussi laborer des stratgies pour ragir rapidement et attnuer l’impact des exploits de type « zero-day« .
Source : Rapport d’Unit 42
Et vous ?
Pensez-vous que ce rapport est crdible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :