Cette nouvelle souche de ransomware suscite la frayeur des experts
Selon une analyse de l’entreprise de sécurité NCC Group, le ransomware Pysa, relativement nouveau, a été la souche dominante des attaques de chiffrement de fichiers en novembre, en enregistrant une augmentation de 400 % des attaques contre des organisations gouvernementales. Pysa est l’un des groupes de ransomware utilisant la double extorsion pour pousser les victimes à payer une demande d’extorsion et a dévoilé le mois dernier des fuites provenant de 50 organisations précédemment compromises.
Globalement, en novembre, le nombre d’attaques par Pysa a augmenté de 50 %, ce qui signifie qu’il a dépassé Conti pour rejoindre Lockbit dans le top deux des versions les plus courantes du malware. Conti et Lockbit étaient les souches dominantes depuis août, selon NCC Group.
De manière inexplicable, Pysa fait fuiter les données de ses cibles des semaines ou des mois après avoir tenté de les extorquer. La publication de données à grande échelle fait suite à l’action conjointe des services répressifs des Etats-Unis et de l’Union européenne contre certains membres du groupe du ransomware REvil, à l’origine de l’attaque contre le fournisseur informatique Kaseya. Egalement connu sous le nom de Mespinoza, le groupe Pysa cherche à obtenir des preuves de crimes auprès de ses cibles afin de les utiliser comme levier lors de négociations d’extorsion portant généralement sur plusieurs millions de dollars.
Un groupe relativement récent
Le FBI a commencé à suivre l’activité de Pysa en mars 2020 dans le cadre d’attaques par ransomware contre le gouvernement, les institutions, le secteur privé et le secteur de la santé. Le groupe utilise souvent des techniques de phishing pour obtenir des informations d’identification afin de compromettre les connexions du protocole de bureau à distance (RDP). Pysa cible les organisations financières, gouvernementales et de santé de grande valeur, note NCC Group.
NCC Group met également en lumière un groupe de ransomware russophone, Everest Group, qui repousse les limites de la double extorsion en menaçant non seulement de divulguer des fichiers, mais aussi en donnant à ses clients l’accès à l’infrastructure informatique des victimes. Au lieu de réclamer une rançon, le groupe vend l’accès de tiers au réseau de la cible, créant ainsi un nouveau moyen de monétiser une cible compromise. Si elle s’avère lucrative, cette pratique pourrait devenir une tendance l’année prochaine, prévient NCC Group.
« En novembre, le groupe a proposé un accès payant à l’infrastructure informatique de ses victimes, tout en menaçant de diffuser les données volées si la victime refusait de payer une rançon », note-t-il. « Alors que la vente de Ransomware-as-a-Service a connu une hausse de popularité au cours de l’année dernière, il s’agit d’un rare cas de groupe renonçant à une demande de rançon et proposant un accès à l’infrastructure informatique – mais nous pourrions voir des attaques copiées en 2022 et au-delà. »
Source : ZDNet.com
