79% des incidents de cybersécurité en 18 mois alimentés par la cryptographie
Un rapport de la société de cybersécurité Sophos a révélé que les ransomwares, alimentés par la crypto-monnaie, étaient impliqués dans 79% des incidents mondiaux de cybersécurité au cours des 18 derniers mois. Les attaques de ransomware Conti et REvil étaient en tête de liste, note Sophos. En outre, la société de sécurité affirme que la crypto-monnaie continuera d’alimenter les cybercrimes tels que les ransomwares et le cryptomining malveillant.
Sophos s’attend à ce que la tendance se poursuive jusqu’à ce que les crypto-monnaies mondiales soient mieux réglementées. La société note que Ransomware s’est imposé comme un élément majeur de l’écosystème cybercriminel. « Alors que nous entrons en 2022, les ransomwares ne montrent aucun signe de ralentissement, bien que son modèle économique ait subi des changements qui semblent susceptibles de persister et même de croître au cours des prochaines années », a déclaré la société dans son rapport sur les menaces.
Le plus grand changement observé par Sophos est le passage des acteurs de la menace, qui créent puis attaquent les organisations à l’aide de leur propre ransomware, à un modèle dans lequel un groupe crée le ransomware puis loue ce ransomware à un autre groupe afin qu’une attaque similaire puisse être mise en œuvre. Ces acteurs malveillants qui proposent des ransomwares en tant que services sont appelés groupes RaaS.
Selon les chercheurs de Sophos, les attaques par des groupes de ransomware uniques ont cédé la place à davantage d’offres de ransomware-as-a-service (RaaS) en 2021. Les groupes RaaS vendent le ransomware en tant que service. L’auteur du logiciel de rançon met le logiciel malveillant à la disposition d’autres groupes appelés affiliés, qui utilisent ensuite leurs logiciels malveillants/services pour prendre en otage les données des personnes.
Fait intéressant, certaines des attaques de ransomware les plus médiatisées de cette année ont été menées par le biais de groupes RaaS, y compris la célèbre attaque de ransomware en mai contre Colonial Pipeline, une société pétrolière américaine, où le cybercriminel a loué le service de DarkSide, un groupe RaaS.
Le groupe Conti RaaS est l’un des plus prolifiques du secteur depuis son apparition en 2020. Une récente fuite d’initiés a identifié un manuel pour les affiliés de Conti. La fuite a permis de découvrir les informations sur la reconnaissance avant l’attaque, les types d’informations sur lesquels les acteurs devraient se concentrer. Il comprenait également une liste de mots de passe suggérés que les acteurs malveillants pourraient utiliser pour pénétrer dans des comptes au sein d’un système.
Pendant ce temps, la recherche souligne que les cybermenaces établies continueront de s’adapter pour distribuer et fournir des ransomwares. « Les ransomwares prospèrent grâce à leur capacité d’adaptation et d’innovation », a déclaré Chester Wisniewski, chercheur principal chez Sophos. « Par exemple, bien que les offres RaaS ne soient pas nouvelles, au cours des années précédentes, leur principale contribution était de mettre les ransomwares à la portée des attaquants moins qualifiés ou moins bien financés. Cela a changé et, en 2021, les développeurs RaaS investissent leur temps et leur énergie à créer un code sophistiqué et à déterminer la meilleure façon d’extraire les paiements les plus importants des victimes, des compagnies d’assurance et des négociateurs. »
Fait intéressant, les attaquants de ransomware exigent souvent une rançon en crypto-monnaie telle que Bitcoin en raison de son anonymat perçu et de la facilité de paiement en ligne. « En tant que méthode pour échapper aux sanctions, les crypto-monnaies sont bien adaptées à la tâche, ce qui peut expliquer pourquoi les criminels basés dans les régions du monde qui restent sous les sanctions économiques traditionnelles traitent exclusivement de la crypto-monnaie. Au-delà de cela, comme la crypto-monnaie est anonyme, il peut être difficile de déterminer où finit l’argent », indique le rapport.
« Il ne suffit plus aux entreprises de supposer qu’elles sont en sécurité en surveillant simplement les outils de sécurité et en s’assurant qu’elles détectent les codes malveillants. Certaines combinaisons de détections ou même d’avertissements sont l’équivalent moderne d’un cambrioleur cassant un vase à fleurs en grimpant par la vitre arrière. Les défenseurs doivent enquêter sur les alertes, même celles qui, dans le passé, auraient pu être insignifiantes, car ces intrusions courantes se sont développées pour prendre le contrôle de réseaux entiers », a ajouté Wisniewski.