L'évolution des ransomwares
2005 à 2020 : un paysage en évolution rapide
Alors que le premier incident de ransomware a été observé en 1989, les attaques de ransomware se sont rapidement intensifiées en 2005.
- En 2005, le cheval de Troie Archiveus a été le premier ransomware à utiliser RSA et à chiffrer de manière asymétrique tous les fichiers du dossier « Mes documents ».
- En 2009, un virus est apparu, baptisé Vundo, qui chiffrait les ordinateurs et vendait des décrypteurs, permettant ainsi aux groupes d'obtenir davantage de profits.
- En 2012, une nouvelle tactique est apparue, connue sous le nom de « scareware », qui contenait des messages prétendant appartenir aux forces de l'ordre et suggérant que la victime devait payer pour éviter les poursuites. Les scarewares ont entraîné une augmentation des paiements aux auteurs de menaces.
- Entre 2013 et 2016, les ransomwares se sont répandus à travers le monde, se propageant via des botnets. De plus, le premier véritable ransomware pour Mac a augmenté les chances de faire encore plus de victimes.
- En 2016, les premières variantes du Ransomware-as-Service (RaaS) ont été observées. Le développement du RaaS a éliminé la nécessité pour les acteurs malveillants de développer leurs propres logiciels malveillants, permettant ainsi à des groupes inexpérimentés de cibler avec succès les organisations. Cela a contribué à une augmentation des attaques de ransomwares.
- Entre 2019 et 2020, les groupes de rançongiciels ont créé des sites de fuite dédiés qui ont mis davantage de pression sur les victimes pour qu'elles paient la rançon afin d'éviter la menace potentielle de publication de données volées, entraînant ainsi des pertes financières supplémentaires pour les victimes. Cette tactique des acteurs menaçants était communément appelée « double extorsion ».
2021 à aujourd’hui : plus d’attaques, plus de sophistication
Les ransomwares restent une menace importante dans l’environnement actuel. Depuis 2021, les groupes de ransomwares sont devenus plus sophistiqués en mettant à jour leurs tactiques, en formant de nouveaux groupes, en trouvant de nouvelles cibles et en tirant parti de facteurs extérieurs. Ces changements sont importants pour que les groupes de rançongiciels puissent garder une longueur d’avance sur les mesures de sécurité et contribuer à sécuriser des paiements de rançons plus importants.
Modifications des tactiques, techniques et procédures (TTP)
Les groupes emploient encore des tactiques de double extorsion ; cependant, certains groupes ont désormais recours à la tactique de la « triple extorsion » et de la « quadruple extorsion » pour convaincre les victimes de payer une rançon. La triple extorsion augmente le risque qu'une victime paie la rançon, en particulier pour les organisations d'infrastructures critiques. Dans le cadre de la triple extorsion, les acteurs malveillants menacent d'attaquer par déni de service distribué (DDoS), en plus de chiffrer les systèmes et d'exposer les données si une rançon n'est pas payée, ce qui pourrait entraîner de longues périodes d'arrêt pour les secteurs public-privé interdépendants comme le gouvernement, la santé ou les services publics. . Par rapport à la triple extorsion, la quadruple extorsion exerce une pression sur les victimes en contactant les clients et les partenaires commerciaux, les informant que leurs informations sensibles ont été volées. Cela ajoute une autre couche de pression pour que les victimes paient.
Pour obtenir un premier accès aux victimes, les groupes de ransomwares emploient diverses méthodes, notamment contacter des personnes qui travaillent au sein de l'organisation cible (menace interne), publier des publicités demandant un accès initial à une cible spécifique et travailler avec des courtiers d'accès initial qui vendent les accès existants à diverses cibles.
Selon CrowdStrike, 2022 a vu une augmentation des offres de courtiers d'accès initial, avec plus de 2 500 postes offrant un accès initial et les meilleures offres sectorielles pour ces postes, notamment le monde universitaire et les entreprises technologiques. Il s’agit d’une augmentation de 112 % par rapport à 2021, ce qui montre clairement que les groupes de ransomwares ont intérêt à acheter un accès initial au lieu de le faire eux-mêmes.
Encore plus de nouveaux groupes de ransomwares
De nombreux facteurs auraient pu conduire à l’augmentation du nombre de nouveaux groupes de ransomwares, notamment les affiliés travaillant pour plusieurs groupes et les fuites de code. Depuis 2021, de nombreuses fuites de codes sources et de constructeurs de ransomwares ont permis à des groupes peu ou pas expérimentés de créer ou de modifier leur ransomware. Les fuites de code, notamment Babuk, Conti, Lockbit3.0 et Chaos, ont permis à de nouveaux groupes de produire des attaques plus fréquentes, modifiant ainsi le paysage des menaces. Cependant, les chercheurs ont observé que les groupes qui utilisent ces constructeurs divulgués ont tendance à demander une rançon inférieure. Cela peut indiquer que ces groupes tentent d’éviter l’attention lorsqu’ils testent leurs nouvelles variantes.
Ciblage des machines Linux et ESXi
Les groupes de ransomwares continuent de cibler les systèmes d'exploitation et les plates-formes telles que les machines Linux ou ESXi. Ce sont des cibles de choix car ils hébergent souvent des serveurs de fichiers, des bases de données et des serveurs web. Les groupes créeront également un chiffrement Linux dans le but de chiffrer spécifiquement les machines virtuelles ESXi. Linux continue d'être le système d'exploitation le plus populaire pour les appareils embarqués, contraints et Internet des objets utilisés par les secteurs d'infrastructures critiques comme la fabrication et l'énergie. En outre, les attaques contre les systèmes Linux ont augmenté de 75 % en 2022 et continueront probablement à augmenter au cours du second semestre 2023.
Influence des facteurs mondiaux et géopolitiques
Des facteurs mondiaux et géopolitiques récents ont également influencé l’augmentation des attaques de ransomwares. Des facteurs mondiaux, dont le COVID-19, ont fait du secteur de la santé une cible attrayante, que ce soit pour obtenir des informations sur les vaccins ou pour une attaque opportuniste où les hôpitaux débordés étaient plus susceptibles de payer une rançon. Les tensions géopolitiques et les sanctions continuent également d’influencer les attaques de ransomwares. Les groupes APT liés aux gouvernements de Russie, de Corée du Nord et de Chine ont utilisé des ransomwares à des fins de gains financiers et de perturbations.
Comment les ransomwares continueront-ils d’évoluer ?
Les attaques de ransomware continueront d’évoluer et deviendront plus sophistiquées, avancées et ciblées. Les acteurs malveillants maîtrisent une nouvelle technique par laquelle les attaquants exploitent les vulnérabilités de la chaîne d’approvisionnement pour lancer de vastes campagnes d’extorsion. Par exemple, cette année, le ransomware Cl0p a infiltré MOVEit, une application sécurisée de transfert de fichiers géré, qui continue d'avoir un impact sur des centaines d'entreprises. Pour un gain plus important, les auteurs de menaces continueront probablement à trouver un premier accès aux entreprises sur lesquelles s’appuient de nombreuses organisations.
Il y aura probablement une augmentation des ransomwares compatibles avec le cloud, car les entreprises continueront de déplacer leurs données critiques vers le stockage dans le cloud. Les groupes de ransomwares pourraient exploiter les services, applications et infrastructures cloud pour obtenir un accès initial. Il s’agit d’une opportunité intéressante pour les acteurs malveillants en raison des plus grandes quantités d’informations critiques disponibles à cibler et à conserver contre rançon.
Les groupes continueront à utiliser le cryptage intermittent, un processus dans lequel seules certaines parties des fichiers sont cryptées. Le cryptage est capable d'éviter des produits tels que la sécurité des points finaux et la détection et la réponse étendues, ce qui rend plus difficile sa détection par un système de sécurité. En chiffrant uniquement des lignes de données spécifiques, le chiffrement intermittent permet également un processus de décryptage plus rapide, ce qui pourrait inciter une victime à payer la rançon.
Les attaques contre des rançons sans cryptage se poursuivront également ; celles-ci sont connues sous le nom d’attaques d’extorsion ou de vol de données. Ces attaques sont utilisées depuis de nombreuses années et continuent de connaître une tendance à la hausse et à la baisse, en fonction des besoins et de la sophistication des acteurs menaçants. Lors de ces attaques, des groupes volent des données et menacent de les exposer au lieu de les chiffrer.
Avec le développement de l’intelligence artificielle (IA) et des modèles d’IA comme ChatGPT, les groupes de ransomware suivront probablement la tendance et utiliseront des outils d’IA comme les chatbots, les logiciels malveillants développés par l’IA, les processus automatisés et les algorithmes d’apprentissage automatique. L’IA aidera probablement les groupes à développer des techniques plus avancées et sophistiquées pour échapper aux mesures de prévention et aux conseils actuels en matière de ransomware. Nous pouvons nous attendre à ce que tous les types d’acteurs de la menace de ransomware exploitent l’IA pour les aider à mener à bien leurs attaques.
Apprendre du passé
L’évolution des ransomwares montre clairement que l’avenir de la cybersécurité sera probablement aussi imprévisible que son passé. Pourtant, l’histoire des attaques de ransomwares offre beaucoup à apprendre. En maintenant une stratégie de cybersécurité solide et adaptable, les organisations ont de meilleures chances de relever les défis à venir.