Les analystes de la sécurité de NCC Group rapportent que les attaques de ransomware en novembre 2021 ont augmenté au cours du mois dernier, la double extorsion continuant d’être un outil puissant dans l’arsenal des acteurs de la menace.
L’attention des acteurs de la menace se déplace également vers des entités appartenant au secteur gouvernemental, qui ont reçu 400 % d’attaques de plus qu’en octobre.
La vedette en novembre a été volée par le groupe de ransomware PYSA (alias Mespinoza), qui a connu une augmentation explosive des infections, enregistrant une augmentation de 50%.
Les autres groupes dominants de ransomware sont Lockbit et Conti, qui ont lancé des attaques contre des entités critiques, bien que moins que les mois précédents.
Les premiers signes d’une activité de PYSA atteignant des niveaux menaçants sont devenus apparents en mars 2021, ce qui a conduit le FBI à publier une alerte sur l’escalade de l’activité de l’acteur.
Comme presque tous les groupes de ransomware actuellement, PYSA exfiltre les données du réseau compromis, puis crypte les originaux pour perturber les opérations.
Les fichiers volés sont utilisés comme levier dans les négociations de rançon, où les attaquants menacent de divulguer publiquement les données si une rançon n’est pas payée.
Nouvelles tendances et tactiques d’extorsion
Everest, un gang de ransomware russophone qui utilise actuellement une nouvelle méthode d’extorsion, est un autre acteur sur lequel se concentre le rapport du groupe NCC.
Chaque fois que leurs demandes de rançon ne sont pas satisfaites dans le délai de négociation imparti, Everest vend l’accès au réseau d’entreprise de la victime à d’autres acteurs de la menace.
Cette pratique crée des problèmes supplémentaires pour les entités compromises, car elles doivent désormais gérer plusieurs infections et attaques répétées simultanément.
« Bien que la vente de ransomware en tant que service ait connu une augmentation de la popularité au cours de la dernière année, il s’agit d’un cas rare où un groupe a renoncé à une demande de rançon et a offert un accès à l’infrastructure informatique – mais nous pourrions assister à des attaques par copie en 2022. et au-delà », commente Rapport du Groupe NCC.
Une autre tendance qui devrait connaître une ascension fulgurante en décembre et dans les mois à venir est l’exploitation de l’exploit Log4Shell pour déployer des charges utiles de ransomware.
Déjà, Conti a travaillé sur le développement d’une chaîne d’infection basée sur l’exploit Log4Shell et l’utilise probablement pour exécuter rapidement des attaques sur des réseaux vulnérables.
Les ransomwares sont une menace changeante qui évolue rapidement vers de nouvelles défenses, de sorte que plusieurs précautions et mesures de sécurité sont nécessaires pour s’en protéger suffisamment.
Si vous recherchez les meilleures pratiques de prévention, vous pouvez commencer par Guide des ransomwares de CISA qui offre plusieurs recommandations de sécurité solides.
À l’approche de Noël et des équipes informatiques en sous-effectif en raison des vacances, appliquer des défenses même à la dernière minute pourrait s’avérer un sauveur.