Plus de 290 entreprises touchées par 6 groupes de ransomware en 2021

Plus de 290 entreprises touchées par 6 groupes de ransomware en 2021

Chaque semaine, une nouvelle organisation est confrontée à une attaque par ransomware, mais un nouveau rapport de l’équipe de recherche en sécurité d’eSentire et du chercheur Mike Mayes, spécialiste du Dark Web, affirme que les incidents dont nous sommes témoins dans les médias ne représentent qu’une petite partie du nombre réel de victimes.

Le eSentire Ransomware Report indique qu’en 2021 seulement, six groupes de ransomware ont compromis 292 organisations entre le 1er janvier et le 31 avril. Le rapport estime que les groupes ont réussi à tirer au moins 45 millions de dollars de ces attaques et détaille de multiples incidents qui n’ont jamais été signalés.

L’équipe d’eSentire et Mike Mayes se sont concentrés exclusivement sur les groupes de ransomware Ryuk/Conti, Sodin/REvil, CLOP et DoppelPaymer, ainsi que sur deux gangs émergents mais notables, DarkSide et Avaddon.

publicité

A chaque groupe d’attaquants ses secteurs et ses régions

Chaque gang se concentre sur des industries et des régions du monde particulières, selon le rapport. Le gang Ryuk/Conti a attaqué 352 organisations depuis 2018 et 63 cette année, se concentrant principalement sur les entreprises de fabrication, de construction et de transport. Des dizaines de leurs victimes n’ont jamais été rendues publiques, mais les organisations les plus notables attaquées comprennent le Broward County School District et l’entreprise française spécialiste des emballages papier carton CEE Schisler, qui n’ont pas payé les rançons exorbitantes, selon le rapport.

Outre l’industrie manufacturière, le groupe a fait des vagues en 2020 pour avoir attaqué les systèmes informatiques des autorités locales aux États-Unis, comme le comté de Jackson, en Géorgie, Riviera Beach, en Floride, et le comté de LaPorte, en Indiana. Ces trois gouvernements locaux ont payé les rançons, qui allaient de 130 000 à près de 600 000 dollars. Le groupe a également consacré une grande partie de l’année 2020 à attaquer des hôpitaux locaux.

Comme le gang Ryuk/Conti, les personnes à l’origine du ransomware Sodin/REvil se concentrent également sur les organismes de santé, tout en s’attaquant aux fabricants d’ordinateurs portables. Sur leurs 161 victimes, 52 ont été touchées en 2021 et ils ont fait l’actualité internationale avec des attaques contre Acer et Quanta, deux des plus grands fabricants de technologie au monde.

Quanta, qui produit les ordinateurs portables d’Apple, a reçu une demande de rançon de 50 millions de dollars. La société a refusé, et le gang Sodin/REvil a divulgué les plans détaillés d’un produit Apple en réponse. Le gang a menacé de divulguer d’autres documents mais a retiré les photos et toute autre référence à l’attaque en mai, selon le rapport, qui note qu’Apple n’a pas parlé de l’intrusion depuis.

Certains fonctionnent sur le modèle du ransomware-as-a-service

Le DoppelPaymer/BitPaymer s’est fait un nom en ciblant des institutions gouvernementales et des écoles. Le FBI a publié un avis en décembre concernant spécifiquement ce ransomware, indiquant qu’il était utilisé pour attaquer des infrastructures critiques comme les hôpitaux et les services d’urgence. Le rapport ajoute que la plupart des 59 victimes du groupe cette année n’ont pas été identifiées publiquement, à l’exception du bureau du procureur général de l’Illinois, qui a été attaqué le 29 avril.

Le gang Clop a concentré ses efforts sur l’exploitation de la vulnérabilité du système de transfert de fichiers d’Accellion. L’équipe d’eSentire explique que le groupe a utilisé la vulnérabilité à profusion, frappant l’université de Californie, la banque américaine Flagstar, le cabinet d’avocats mondial Jones Day, le constructeur d’avions canadien Bombardier, l’université de Stanford, le géant pétrolier néerlandais Royal Shell, l’université du Colorado, l’université de Miami, la société de stations-service RaceTrac et bien d’autres encore. D’après le rapport, le gang Clop est devenu tristement célèbre pour avoir prétendument passé au peigne fin les fichiers d’une organisation et avoir contacté des clients ou des partenaires pour leur demander de faire pression sur la victime afin qu’elle paie une rançon.

Le gang DarkSide a fait parler de lui récemment pour son attaque contre Colonial Pipeline, qui a déclenché une tempête politique aux États-Unis et une ruée sur les stations-service dans certaines villes de la côte Est. Le groupe est l’un des plus récents parmi les principaux groupes de ransomware, apparu fin 2020, selon le rapport. Mais il n’a pas perdu de temps, faisant 59 victimes depuis novembre et 37 cette année.

Le rapport note que le groupe DarkSide est l’un des rares à fonctionner comme une opération de ransomware-as-a-service, déchargeant la responsabilité sur des entrepreneurs qui attaquent les cibles et partagent les rançons. eSentire a déclaré que ses recherches indiquaient que les personnes derrière DarkSide n’étaient pas au courant de l’attaque Colonial avant qu’elle ne se produise et ne l’ont appris que par les médias. Ils ont fait des vagues la semaine dernière lorsqu’ils ont prétendument arrêté toutes leurs opérations en raison de la surveillance accrue des forces de l’ordre.

Le ransomware a été par ailleurs impliqué dans de multiples attaques contre des producteurs d’énergie, comme l’une des plus grandes compagnies d’électricité du Brésil, Companhia Paranaense de Energia, qu’il a touchée en février.

Beaucoup d’attaques ne sont pas signalées

Le dernier groupe étudié est le gang Avaddon, qui a fait parler de lui cette semaine pour son attaque contre la grande compagnie d’assurance Axa. L’attaque était remarquable parce qu’Axa fournit une cyberassurance à des dizaines d’entreprises et s’est engagé à ne plus rembourser ses clients en France pour les rançons payées.

En plus d’Axa, le groupe a également attaqué 46 organisations cette année et opère en tant que ransomware-as-a-service comme DarkSide. Le rapport explique que le gang se distingue par la présence d’un compte à rebours sur son site Dark Web et par la menace supplémentaire d’une attaque DDoS si la rançon n’est pas payée. La liste de leurs victimes comprend des organisations de soins de santé comme le Capital Medical Center à Olympia, Washington et Bridgeway Senior Healthcare dans le New Jersey.

L’équipe d’eSentire et Mayes ont ajouté que le grand nombre d’attaques non signalées indique que ces gangs « font des ravages contre beaucoup plus d’entités que le public ne le réalise ». Le rapport conclut qu’aucune industrie n’est à l’abri de ce fléau des ransomwares. « Ces attaques débilitantes se produisent dans toutes les régions et tous les secteurs, et il est impératif que toutes les entreprises et organisations du secteur privé mettent en place des protections de sécurité pour atténuer les dommages découlant d’une attaque par ransomware. »

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *