Les nombreuses opérations d’application de la loi qui ont conduit à l’arrestation et au retrait d’opérations de rançongiciels en 2021 ont forcé les acteurs de la menace à réduire leur champ de ciblage et à maximiser l’efficacité de leurs opérations.
La plupart des gangs notoires de Ransomware-as-a-Service (RaaS) poursuivent leurs opérations même après que les autorités chargées de l’application de la loi ont arrêté des membres clés, mais ont affiné leurs tactiques pour un impact maximal.
Changement de victimologie
Selon une analyse publiée par Coveware, qui examine les données de négociation de rançon du quatrième trimestre 2021, les groupes de rançongiciels exigent désormais des paiements de rançon plus élevés au lieu d’augmenter le volume de leurs attaques.
En chiffres, le paiement moyen de la rançon au quatrième trimestre 2021 a atteint 322 168 dollars, soit 130 % de plus qu’au trimestre précédent. Le montant médian du paiement de la rançon était de 117 116 $, en hausse de 63 % par rapport au troisième trimestre.
Source : Coveware
Parce que perturber le fonctionnement des grandes firmes provoque des enquêtes et crée des tensions politiques au niveau international, les escrocs cherchent désormais un équilibre délicat.
Ils ciblent des entreprises suffisamment grandes pour recevoir de lourdes demandes de paiement de rançon, mais pas si importantes ou critiques que cela leur causera plus de problèmes géopolitiques que de gains.
Lorsque l’on examine la taille de l’entreprise en termes de nombre d’employés, les entités de plus de 50 000 employés ont connu moins d’incidents, les acteurs de la menace ayant choisi de se concentrer davantage sur les entreprises de taille moyenne.
Source : Coveware
« Bien que les moyennes et grandes entreprises continuent d’être touchées, les ransomwares restent un problème pour les petites entreprises, 82 % des attaques touchant les entreprises de moins de mille employés », explique Coveware
Tactiques et activités de groupe
Au quatrième trimestre 2021, la variante la plus fréquemment rencontrée était Conti, représentant 19,4 % de toutes les détections, LockBit 2.0 est arrivé deuxième avec 16,3 % et Hive troisième avec 9,2 %.
Source : Coveware
Considérant que les trois principales opérations de ransomwares utilisent des tactiques de double extorsion, il n’est pas surprenant que 84 % de toutes les attaques du quatrième trimestre 2021 impliquaient également des données volées.
Ce pourcentage serait encore plus élevé s’il ne s’appuyait que sur les intentions des acteurs, car dans certains cas, les attaques sont détectées et arrêtées prématurément par les systèmes de défense.
En termes de techniques et de procédures (TTP), Coveware rapporte ce qui suit :
- L’établissement de la persistance par le biais de tâches planifiées et l’exécution de code de démarrage ont caractérisé 82 % des infections.
- Les acteurs ont effectué un mouvement latéral dans 82 % des attaques de rançongiciels, tentant de pivoter vers plusieurs systèmes sur le même réseau.
- L’accès aux informations d’identification sous-tendait 71 % des cas de rançongiciels observés.
- Un centre de commande et de contrôle orchestrant les opérations d’accès à distance a été utilisé dans 63 % des incidents.
- La collecte de données telles que les saisies au clavier, les captures d’écran, les e-mails, les vidéos et d’autres informations liées à l’espionnage a caractérisé 61 % des cas.
Un autre changement notable dans la tactique concerne le vecteur de compromis initial. L’accès RDP, qui était autrefois un élément largement échangé sur les marchés du dark web, diminue régulièrement à mesure que les acteurs des ransomwares se tournent vers l’exploitation des vulnérabilités.
Source : Coveware
Les failles les plus exploitées pour l’entrée réseau au quatrième trimestre 2021 étaient CVE-2021-34473, CVE-2021-26855 et CVE-2018-13379, sur les appliances de pare-feu Microsoft Exchange et Fortinet.