L'histoire et l'évolution des attaques de ransomwares.

L'histoire et l'évolution des attaques de ransomwares

Il est impératif que toutes les organisations disposent d’un plan sur la manière de prévenir et de répondre aux attaques de ransomwares. Mais pour comprendre comment se préparer aujourd’hui, il est également nécessaire de comprendre comment les ransomwares ont évolué pour atteindre leur état actuel.

L'émergence des ransomwares (1989)

La première attaque de ransomware est généralement considérée comme le « cheval de Troie du SIDA ». Il doit son nom à la conférence sur le sida de l'Organisation mondiale de la santé (OMS) de 1989, au cours de laquelle le biologiste Joseph Popp a distribué 20 000 disquettes infectées aux participants à l'événement. Après qu'un utilisateur ait démarré quatre-vingt-dix fois, les noms des fichiers de l'utilisateur étaient cryptés et le message ci-dessous apparaissait, demandant aux victimes d'envoyer 189 $ US à une boîte postale au Panama. Le ransomware était relativement facile à supprimer à l’aide d’outils de décryptage en ligne.

Les premières années (2005-2009)

Après ce premier événement, aucun développement notable dans le domaine des ransomwares n’a eu lieu jusqu’en 2005, lorsque les ransomwares ont réapparu, cette fois en utilisant un cryptage asymétrique sécurisé. Les chevaux de Troie « Archiveus » et « GPcode » étaient les plus remarquables de ces premiers ransomwares. GPcode a attaqué les systèmes d'exploitation Windows, d'abord en utilisant le cryptage symétrique et plus tard, en 2010, en utilisant le RSA-1024, plus sécurisé, pour crypter des documents avec des extensions de fichiers spécifiques.

Le cheval de Troie Archiveus, le premier ransomware à utiliser RSA, a chiffré tous les fichiers du dossier « Mes documents ». Ils pouvaient être déchiffrés à l’aide d’un mot de passe à trente chiffres fourni par l’auteur de la menace après le paiement de la rançon.

Malgré l’efficacité de ces algorithmes de chiffrement, les premières variantes de ransomwares avaient un code relativement simple, ce qui permettait aux éditeurs d’antivirus de les identifier et de les analyser. Le mot de passe Archiveus a été craqué en mai 2006, lorsqu'il a été découvert dans le code source du virus. De même, jusqu'à ce que GPcode passe à RSA, la récupération de fichiers était souvent possible sans mot de passe, ce qui a conduit les cybercriminels à préférer le piratage, le phishing et d'autres vecteurs de menace.

Les ransomwares adoptent la cryptographie (2009-2013)

En 2009, est apparu le virus « Vundo », qui cryptait les ordinateurs et vendait des décrypteurs. Vundo a exploité des vulnérabilités dans des plugins de navigateur écrits en Java ou s'est téléchargé lorsque les utilisateurs ont cliqué sur des pièces jointes malveillantes. Une fois installé, Vundo a attaqué ou supprimé les programmes anti-programme malveillant tels que Windows Defender et Malwarebytes.

Peu de temps après, en 2010, le cheval de Troie « WinLock » est apparu. Dix cybercriminels à Moscou ont utilisé le logiciel pour verrouiller les ordinateurs des victimes et afficher de la pornographie jusqu'à ce que les victimes leur envoient environ 10 dollars en roubles. Le groupe a été arrêté en août de la même année, même si le stratagème a d’abord rapporté 16 millions de dollars.

En 2011, le logiciel a été mis à niveau pour prétendre être le système d'activation de produit Windows. Le malware semblait nécessiter une réinstallation du logiciel en raison d'une utilisation frauduleuse et extorquait finalement des données aux victimes.

Le ransomware « Reveton », apparu en 2012, était un type de logiciel effrayant qui affichait des messages à ses victimes affirmant qu'il s'agissait d'une application des forces de l'ordre américaines et que l'utilisateur avait été détecté en train de regarder de la pornographie illégale. Dans certains cas, il activait la caméra de l’utilisateur pour laisser entendre que l’utilisateur avait été enregistré. Il a également exigé que la victime paie afin d'éviter des poursuites.

Une variante de ce ransomware est également apparue pour Mac, même si elle n’était pas cryptographique. Il était composé de 150 iframes identiques qu’il fallait fermer chacune, le navigateur semblait donc verrouillé.

À mesure que de nouvelles variantes de ransomwares sont apparues, le nombre d’attaques de ransomwares enregistrées a presque quadruplé entre 2011 et 2012.

Les ransomwares deviennent dominants (2013-2016)

Au second semestre 2013, « CryptoLocker » est apparu. CryptoLocker a été un pionnier à plusieurs égards : il a été le premier ransomware à se propager par un botnet – en l’occurrence le botnet « Gameover Zeus » – bien qu’il ait également utilisé des tactiques plus traditionnelles, telles que le phishing. Il convient également de noter que CryptoLocker utilisait des cryptages à clé publique et privée RSA de 2 048 bits, ce qui le rendait particulièrement difficile à déchiffrer. CryptoLocker n’a pas été arrêté jusqu’à ce que son botnet associé, « Gameover Zeus », soit supprimé en 2014.

Le premier véritable ransomware pour Mac, « FileCoder », a également été découvert en 2014, même si son origine remonte à 2012. Le malware n'a jamais été terminé, car, même s'il chiffrait des fichiers et exigeait un paiement, les seuls fichiers qu'il cryptés étaient les siens.

D’autres attaques non cryptographiques contre l’infrastructure Mac ont connu plus de succès cette année-là. L'année 2014 a également été marquée par l'attaque « Oleg Pliss », dans laquelle un acteur malveillant a utilisé les informations d'identification d'un compte Apple volées pour se connecter à des comptes, puis a utilisé ces comptes pour verrouiller à distance des iPhones, à l'aide de la fonction « Localiser mon iPhone ». Ils ont ensuite demandé une rançon pour que le téléphone soit débloqué.

Tout comme Oleg Pliss a ciblé les iPhones, 2014 a également vu la première attaque cryptographique sur les appareils mobiles, avec « Spyeng » ciblant Android. Spyeng a également envoyé des messages à toutes les personnes figurant dans la liste de contacts de la victime avec un lien de téléchargement vers le ransomware.

La première attaque réussie de ransomware cryptographique sur Mac a eu lieu en 2016 et était connue sous le nom de « KeRanger ». Lié à la version 2.90 du client torrent Transmission, le ransomware a verrouillé l'ordinateur d'une victime jusqu'à ce qu'un bitcoin (400 dollars à l'époque) soit payé aux acteurs malveillants.

Un autre ransomware pour Mac, « Patcher », alias « filezip », est apparu en février 2017. Il a également infecté les utilisateurs via le torrent, dans ce cas en se faisant passer pour un cracker de logiciels populaires tels qu'Office 2016 ou Adobe Premiere CC 2017. Notamment , en raison de défauts de conception, Patcher n'a pas pu être déchiffré, que la rançon ait été payée ou non.

Le succès de CryptoLocker a entraîné une augmentation significative des variétés de ransomwares. CryptoWall est devenu le successeur de CryptoLocker, devenu connu en 2014, même s'il circulait en réalité depuis au moins novembre 2013. Diffusé en grande partie par le biais de courriers électroniques de phishing, CryptoWall était devenu en mars 2014 la principale menace de ransomware. CryptoWall s’est montré particulièrement tenace et certains rapports suggèrent qu’en 2018, il avait causé 325 millions de dollars de dégâts.

L’émergence du RaaS (2016-2018)

En 2016, les variantes de ransomwares sont devenues de plus en plus fréquentes. Les premières variantes de ransomware-as-a-service (RaaS) ont émergé : des partenariats dans lesquels un groupe écrit le code du ransomware et collabore avec des pirates informatiques qui découvrent des vulnérabilités dans les systèmes. Certains des plus connus étaient « Ransom32 » (le premier ransomware écrit en JavaScript), « shark » (qui était hébergé sur un site WordPress public et mis à disposition sur la base d'un partage 80/20, faveur des distributeurs) , et « Stampado » (qui était disponible pour seulement 39 $).

L’année 2016 a également vu l’émergence du célèbre rançongiciel « Petya ». Initialement, le ransomware a eu moins de succès que CryptoWall, mais le 17 juin 2017, une nouvelle variante est apparue, baptisée « notPetya » par Kaspersky pour la différencier de la version originale. Cela a commencé en Ukraine et s'est rapidement répandu dans le monde entier via la vulnérabilité Windows « EternalBlue » découverte par la NSA. Selon la Maison Blanche, NotPetya est responsable de 10 milliards de dollars de dégâts. Les gouvernements des États-Unis, du Royaume-Uni et de l’Australie accusent la Russie d’être responsable du malware.

« LeakerLocker », un ransomware mobile pour Android, a également fait son apparition en 2017. Contrairement aux ransomwares plus traditionnels, LeakerLocker n'a en réalité chiffré aucun fichier. Intégré dans des applications malveillantes sur le Play Store qui demandaient des autorisations élevées, LeakerLocker a affiché des exemples de données du téléphone de l'utilisateur et a affirmé qu'il enverrait l'intégralité du contenu du téléphone de l'utilisateur à chaque personne de sa liste de contacts si une rançon n'était pas payée.

Le ransomware « WannaCry », l’un des ransomwares cryptographiques les plus connus, a également fait son apparition en 2017. Comme notPetya, WannaCry s’est propagé via l’exploit EternalBlue. Après son apparition en mai 2017, il a infecté environ 230 000 ordinateurs dans 150 pays, causant 4 milliards de dollars de dégâts. Bien que Microsoft ait déjà publié un correctif pour cet exploit deux mois avant l'émergence de WannaCry, de nombreux utilisateurs n'avaient pas mis à jour leurs systèmes, ce qui a permis au ransomware de se propager.

Le ransomware aurait probablement été bien plus dommageable s’il n’avait pas été stoppé quelques jours après le début de l’attaque grâce aux efforts de Marcus Hutchins, qui a découvert que le ransomware possédait un « kill switch » intégré qui pouvait être activé. Malgré le rôle de Hutchins dans l’arrêt de l’épidémie mondiale de WannaCry, il a ensuite été arrêté et emprisonné par le FBI pour des accusations de piratage sans rapport. Plusieurs grands gouvernements ont attribué WannaCry à la Corée du Nord.

Fusion des ransomwares et des malwares (2018-2019)

Janvier 2018 a été un moment décisif pour les ransomwares, avec l’émergence de « GandCrab ». Bien que GandCrab en lui-même n'était pas particulièrement inhabituel, les développeurs ont continué à publier des versions de plus en plus avancées et l'ont finalement intégré au malware voleur d'informations « Vidar », produisant un ransomware qui à la fois volait et bloquait les fichiers d'une victime. GandCrab est rapidement devenu le RaaS le plus populaire et la souche de ransomware la plus active entre 2018 et 2019.

« Team Snatch », une équipe d'acteurs menaçants apparue en 2018, était partenaire de GandCrab et a inauguré la nouvelle tendance consistant à publier les données des victimes afin d'extorquer de l'argent. Team Snatch a commencé à publier des données sur les victimes en avril 2019. Snatch a été formé par l'acteur menaçant « Truniger », qui opérait sur Exploit. Le 28 avril 2019, Truniger a publié sur Exploit que Citycomp, l'une de leurs victimes, avait refusé de payer une rançon et que ses données seraient donc publiées publiquement.

Cependant, le ransomware GandCrab n'est désormais plus utilisé après que les développeurs ont annoncé qu'ils prendraient leur retraite le 1er juin 2019 et que le FBI a publié les clés de décryptage du ransomware en juillet 2019.

Bien que Team Snatch ait disparu en 2019 suite à une dispute sur le forum Exploit, leurs actions ont ouvert la voie au ransomware Maze et à la montée en puissance des sites de fuites.

L’augmentation des sites de fuite (2019-2020)

En novembre 2019, le groupe de ransomware « Maze » a divulgué 700 Mo de documents volés à Allied Universal dans le but de faire pression sur eux et sur les futures victimes pour qu'ils paient la rançon. Cela a déclenché une tendance des groupes de ransomware à créer des sites de fuite pour faire pression sur leurs victimes. En publiant des données volées, les opérateurs de ransomware exposent une victime à des pertes financières supplémentaires si, par exemple, des données financières sensibles, des informations personnelles identifiables (PII) ou des secrets commerciaux sont exposés.

Cet effet de levier supplémentaire peut être particulièrement efficace si une victime a sauvegardé ses données et n'est donc pas incitée à payer les extorsionnistes pour une seule clé de déchiffrement. La nouvelle technique signifie finalement que la sauvegarde des données n’atténue plus la menace d’attaques de ransomware.

Cette nouvelle technique a considérablement accru la visibilité des ransomwares et semble également avoir accru leur popularité. En 2020, le groupe NetWalker a gagné à lui seul plus de 25 millions de dollars.

Depuis que le ransomware Maze a commencé à publier des données sur les victimes, d’autres groupes de ransomwares ont publié leurs propres sites. Plusieurs de ces familles de ransomwares sont issues de partenariats antérieurs, les « annonceurs » acquérant de l'expérience en collaborant avec un groupe de ransomwares avant de créer le leur. La visibilité accrue a également conduit à une coopération entre les groupes de ransomwares, Maze formant un « cartel » de groupes de ransomwares qui partagent des tactiques, des techniques, des procédures (TTP) et des ressources.

La famille des ransomwares « Sodinokibi » est un autre acteur notable dans ce domaine. Sodinokibi a émergé pour combler l'espace laissé lorsque les acteurs menaçants de GandCrab se sont retirés. Géré par le collectif REvil, il est devenu l'un des groupes de ransomwares les plus dommageables, avec plus de victimes signalées que n'importe quel fournisseur autre que Maze.

Les ransomwares aujourd’hui (2020-présent)

Aujourd’hui, les ransomwares continuent de menacer les organisations et ont représenté plus de 42,9 millions de dollars de pertes en 2021, selon le rapport 2021 sur la criminalité sur Internet du FBI. Au-delà des gros titres, c’est une chose dont les entreprises de toutes tailles et de tous secteurs doivent être conscientes : des protocoles dédiés et bien documentés sur la marche à suivre en cas d’attaque sont devenus une mission faisant partie de l’arsenal de sécurité et de défense de chaque organisation.

L’essor des ransomwares est un processus progressif qui s’étend sur plus de trente ans. Sa popularité a été influencée à la fois par les technologies qui le supportent, telles que les méthodologies de cryptage et l'intégration de logiciels malveillants, et par les technologies qui l'entourent, telles que Bitcoin et le réseau anonyme Tor, qui lui ont permis de passer d'un outil utilisé par un seul pirate informatique ou un seul groupe à un autre. un géré par un collectif.

Bien que les ransomwares n’aient pas remplacé d’autres formes de malwares en soi, ils sont devenus un choix de plus en plus populaire parmi les auteurs de menaces à mesure que les barrières à l’entrée diminuent. Alors qu'une attaque de ransomware nécessitait auparavant des années d'expérience en matière de développement, de cryptographie et de tests d'intrusion et ne rapportait qu'un bénéfice modéré, les programmes RaaS prolifèrent désormais sur les forums Web illégaux et clandestins, permettant aux acteurs malveillants de s'associer facilement et à moindre coût avec les auteurs de ransomwares. . De plus, ces programmes RaaS sont très développés, avec des tableaux de bord utilisateur, des guides et un support technique.

Finalement, le gain s’accroît. Alors que des outils tels que Cobalt Strike et Metasploit automatisent les tests d'intrusion avancés et que les communautés illicites telles que Genesis Market offrent un accès de plus en plus avancé aux réseaux d'entreprise, l'accès aux entreprises devient de plus en plus disponible et les ransomwares exigent de plus en plus de revenus. L'intégration des ransomwares avec l'exfiltration de données permet d'obtenir des rançons encore plus élevées, en menaçant de poursuites judiciaires l'entreprise victime. Pour toutes ces raisons, les ransomwares continuent de croître, tant en termes d’influence que de capacité destructrice.

L’impact de Conti

Les analystes de Flashpoint ont observé une augmentation globale du nombre de victimes publiques de ransomwares, ce qui concorde avec les observations faites par d'autres chercheurs. Toutefois, l’histoire récente montre une image un peu moins claire. Alors qu’au cours des deux dernières années, les attaques de ransomwares ont augmenté dans tous les domaines, ces derniers mois, au moment de cette publication, elles ont diminué.

Le principal facteur de ce déclin a peut-être été la dissolution de Conti, un groupe de ransomware basé en Russie qui compte parmi les variantes de ransomware les plus connues et les plus dommageables. Cette scission a eu un impact sur sa capacité à exécuter des attaques à l'échelle qu'elle faisait autrefois, et bien que certaines parties de sa structure organisationnelle demeurent et qu'il y ait eu des signes d'activité de Conti depuis mai, sa mort en tant que marque donne une cause possible à l'accalmie du nombre de victimes publiques. d’attaques de ransomware ces derniers temps.

Cependant, il n’est pas clair si la scission de Conti peut à elle seule expliquer la baisse du nombre de victimes publiques observée par Flashpoint. Les opérateurs de ransomwares ont été confrontés à de nouveaux défis en 2022, notamment :

• Conti est sans doute devenu une marque « toxique », en raison de sa sympathie ouverte pour l’invasion russe de l’Ukraine et de ses liens présumés avec les institutions russes chargées de l’application de la loi et de la sécurité.

• En raison d’un régime de sanctions plus strict et nettement plus étendu, les organisations attaquées par Conti s’exposent à des risques juridiques élevés si elles paient la rançon, ce qui aurait eu un impact sur la coopération des victimes.

• En général, les sanctions ont conduit à une surveillance plus stricte des paiements en cryptomonnaies, ce qui a incité les bourses et les courtiers à faire preuve d’une plus grande prudence.

Autres changements dans le paysage des ransomwares

Outre les évolutions directement liées au paysage des ransomwares qui l’ont impacté, d’autres facteurs mondiaux et géopolitiques récents ont créé une nouvelle « normalité » pour les attaques de ransomwares, leurs statistiques et les groupes qui les mènent.

En particulier, la pandémie de COVID-19 a entraîné une augmentation des incidents de cybercriminalité entre 2020 et 2021, tout en augmentant la sensibilisation aux ransomwares et en renforçant les réponses des forces de l’ordre, des gouvernements et des entreprises privées, notamment en appliquant plus strictement les règles de connaissance du client et Les exigences anti-blanchiment d’argent imposées par les bourses de crypto-monnaie ont compliqué la situation des criminels.

En 2022, les tensions géopolitiques et l’évolution du paysage des sanctions ont encore compliqué la tâche des opérateurs de ransomwares. L’évolution de la situation géopolitique – notamment le risque élevé que des cybercriminels motivés par l’argent soient enrôlés pour aider des groupes soutenus par l’État ou encouragés à commettre des attaques contre des entités occidentales – a accru le niveau général de sensibilisation aux risques liés à la cybersécurité, rendant les attaques réussies moins probables.

Évolution des tactiques et des comportements

Au cours des dernières années, Flashpoint a observé que les groupes de ransomwares évoluaient vers une plus grande sophistication, des montants de rançon plus élevés, une escalade des tactiques d'extorsion et le recours à des fournisseurs de services gérés (MSP) et à des fournisseurs de services de sécurité gérés (MSSP) comme point de départ de compromission.