ActualitésObjets high tech

Qui sont les opérateurs de ransomwares et où les trouver : Kaspersky mène l’enquête

Le sujet des ransomwares se retrouve sur toutes les lèvres dès lors que l’on évoque les menaces cyber auxquelles pourraient être confrontées les entreprises en 2021.

Plus ambitieux que jamais, les attaquants vont jusqu’à créer leur propre marque, tandis que les annonces d’entreprises victimes de ransomwares continuent de faire régulièrement la une. Mais en se mettant sous le feu des projecteurs, ces groupes cachent la véritable complexité de l’écosystème des ransomwares. Pour aider les entreprises à comprendre comment fonctionne cette nébuleuse et comment la combattre, les chercheurs Kaspersky se sont intéressés aux forums hébergés sur le darknet et ont enquêté sur les gangs tels que REvil et Babuk et publient un nouveau rapport qui démystifie certains mythes à propos des ransomwares.

Car si l’on y regarde de plus près, on découvre un univers aux multiples visages

Un écosystème de services, bien organisé où chacun tient son rôle

Comme tout secteur d’activité, l’écosystème des ransomwares comprend une multitude d’acteurs qui jouent différents rôles. Contrairement à la croyance selon laquelle les cybercriminels sont regroupés en gangs très soudés qui partagent tout et obéissent à un chef, la réalité est plus proche du film The Gentlemen de Guy Ritchie. La plupart des attaques font intervenir un nombre important d’acteurs différents — développeurs, botmasters, vendeurs d’accès ou opérateurs de ransomwares — qui se rendent mutuellement service via des places de marché hébergées sur le darkweb.

Ces acteurs échangent par le biais de forums spécialisés sur le darknet, où des offres de services et de partenariats sont régulièrement postées. Les gros bonnets qui opèrent de façon autonome ne fréquentent pas ce type de sites, mais des groupes connus tels que REvil, qui ont ciblé un nombre croissant d’entreprises au cours des derniers trimestres, publient régulièrement leurs offres et leurs actualités au moyen de programmes d’affiliation. Les contrats de ce type supposent un partenariat entre l’opérateur du groupe de ransomwares et un affilié, l’opérateur percevant une marge de 20 à 40 % et l’affilié les 60 à 80 % restants.

REvil annonce une nouvelle fonctionnalité permettant d’interpeller les médias et les partenaires de la cible pour accentuer la pression en vue d’obtenir le paiement de la rançon

Exemple d’offre spécifiant les conditions de paiement d’un programme d’affiliation

Des affiliés choisis avec soin et des victimes choisies à l’opportunité.

Les affiliés sont recrutés selon un processus bien huilé dont les règles de base sont fixées dès le départ par les opérateurs de ransomwares. Ces règles peuvent notamment imposer des restrictions géographiques ou véhiculer une idéologie politique. Les victimes, en revanche, sont choisies de manière opportuniste.  

Exemple d’offre pour acheter l’accès au protocole RDP d’une entreprise

Des places de marché complètes avec de nombreuses offres dédiées au cybercrime. 

Les forums de ransomwares hébergent également d’autres types d’offres. Certains opérateurs vendent des échantillons de malwares et des logiciels de conception de ransomwares pour des sommes qui peuvent varier entre 300 et 4 000 USD, quand d’autres proposent des forfaits RaaS (Ransomware-as-a-Service), qui comprennent l’achat du ransomware et le support technique des développeurs, à des tarifs allant de 120 USD par mois à 1 900 USD par an.

Pour en savoir plus sur l’écosystème des ransomwares et accéder à l’intégralité du rapport, cliquer ici.

  • S’inscrire au webinaire gratuit intitulé « Darknet and cybergangs : a deep dive into the ransomware ecosystem », qui aura lieu le 12 mai à 16h00 : https://kas.pr/vbj1  

En ce 12 mai, à l’occasion de la Journée anti-ransomware, Kaspersky incite les entreprises à suivre les meilleures pratiques ci-après pour se protéger des ransomwares :

  • Constamment mettre à jour les logiciels sur l’ensemble des appareils que vous utilisez, pour empêcher les attaquants d’infiltrer votre réseau en exploitant ses vulnérabilités. 
  • Concentrer votre stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration de données vers Internet. Surveiller tout particulièrement le trafic sortant pour détecter les connexions des cybercriminels. Créer des sauvegardes hors ligne auxquels les intrus ne peuvent pas avoir accès. S’assurer de pouvoir rapidement y accéder en cas d’urgence. 
  • Activer la protection anti-ransomwares pour tous les terminaux. Kaspersky met à disposition des entreprises un module anti-ransomware gratuit compatible avec les solutions de sécurité déjà installées, qui empêche les exploits informatiques et qui protège les ordinateurs et les serveurs face aux ransomwares et autres types de malwares. 
  • Installer des solutions anti-APT et EDR, qui offrent des capacités avancées de détection et de découverte des menaces, d’investigation et de traitement des incidents. Permettre à votre équipe SOC d’accéder aux toutes dernières données en matière de menaces et lui dispenser des formations régulières pour la mise à niveau des compétences. Toutes ces mesures sont intégrées dans l’écosystème Kaspersky Expert Security.

 

Articles similaires

Bouton retour en haut de la page