Plus de 290 entreprises touchées par six groupes de ransomware en 2021

Plus de 290 entreprises touchées par six groupes de ransomware en 2021

Chaque semaine, une nouvelle organisation est confrontée à une attaque par ransomware. Mais un nouveau rapport de l’équipe de recherche en sécurité d’eSentire et du chercheur Mike Mayes, spécialiste du dark web, affirme que les incidents dont nous sommes témoins dans les médias ne représentent qu’une petite partie du nombre réel de victimes.

Le eSentire Ransomware Report indique qu’en 2021, en seulement quelques mois, six groupes de ransomware ont déjà compromis 292 organisations, entre le 1er janvier et le 31 avril. Le rapport estime que les groupes ont réussi à tirer au moins 45 millions de dollars de ces attaques, et détaille de multiples incidents qui n’ont jamais été signalés.

eSentire et Mike Mayes se sont concentrés exclusivement sur les groupes de ransomware Ryuk/Conti, Sodin/REvil, CLOP et DoppelPaymer, ainsi que sur deux gangs émergents mais notables, DarkSide et Avaddon.

publicité

A chaque groupe d’attaquants ses secteurs et ses régions

Chaque groupe se concentre sur des industries et des régions du monde particulières, selon le rapport. Ryuk/Conti a attaqué 352 organisations depuis 2018, et 63 cette année, se concentrant principalement sur les entreprises de fabrication, de construction et de transport. Des dizaines de ses victimes n’ont jamais été rendues publiques, mais les organisations les plus notables attaquées comprennent le Broward County School District et l’entreprise française spécialiste des emballages papier carton CEE Schisler, qui n’ont pas payé les rançons exorbitantes demandées, selon le rapport.

Outre l’industrie manufacturière, le groupe a fait des vagues en 2020 pour avoir attaqué les systèmes informatiques des autorités locales aux Etats-Unis, comme le comté de Jackson, en Géorgie, Riviera Beach, en Floride, et le comté de LaPorte, en Indiana. Ces trois gouvernements locaux ont payé les rançons, qui allaient de 130 000 à près de 600 000 dollars. Le groupe a également consacré une grande partie de l’année 2020 à attaquer des hôpitaux locaux.

Comme le groupe Ryuk/Conti, les personnes à l’origine du ransomware Sodin/REvil se concentrent également sur les organismes de santé, tout en s’attaquant en même temps aux fabricants d’ordinateurs portables. Sur leurs 161 victimes, 52 ont été touchées en 2021, et ils ont fait l’actualité internationale avec des attaques contre Acer et Quanta, deux des plus grands fabricants d’appareils technologiques au monde.

Quanta, qui produit les ordinateurs portables d’Apple, a reçu une demande de rançon de 50 millions de dollars. La société a refusé, et Sodin/REvil a divulgué les plans détaillés d’un produit Apple en réponse. Les cybercriminels ont menacé de divulguer d’autres documents mais ils ont retiré les photos et toute autre référence à l’attaque en mai, selon le rapport, qui note qu’Apple n’a pas parlé de l’intrusion depuis.

Certains fonctionnent sur le modèle du ransomware-as-a-service

DoppelPaymer/BitPaymer s’est fait un nom en ciblant des institutions gouvernementales et des écoles. Le FBI a publié un avis en décembre concernant spécifiquement ce ransomware, indiquant qu’il était utilisé pour attaquer des infrastructures critiques comme les hôpitaux et les services d’urgence. Le rapport ajoute que la plupart des 59 victimes du groupe cette année n’ont pas été identifiées publiquement, à l’exception du bureau du procureur général de l’Illinois, qui a été attaqué le 29 avril.

Le gang Clop a concentré ses efforts sur l’exploitation de la vulnérabilité du système de transfert de fichiers d’Accellion. L’équipe d’eSentire explique que le groupe a utilisé la vulnérabilité à profusion, frappant l’université de Californie, la banque américaine Flagstar, le cabinet d’avocats mondial Jones Day, le constructeur d’avions canadien Bombardier, l’université de Stanford, le géant pétrolier néerlandais Royal Shell, l’université du Colorado, l’université de Miami, la société de stations-service RaceTrac et bien d’autres encore. D’après le rapport, Clop est devenu tristement célèbre pour avoir prétendument passé au peigne fin les fichiers d’une organisation et avoir contacté des clients ou des partenaires pour leur demander de faire pression sur la victime afin qu’elle paie une rançon.

DarkSide a fait parler de lui récemment pour son attaque contre Colonial Pipeline, qui a déclenché une tempête politique aux Etats-Unis et une ruée sur les stations-service dans certaines villes de la côte Est. Le gang est l’un des plus récents parmi les principaux groupes de ransomware, puisqu’il est apparu fin 2020, selon le rapport. Mais il n’a pas perdu de temps, faisant 59 victimes depuis novembre, et 37 cette année.

Le rapport note que le groupe DarkSide est l’un des rares à fonctionner comme une opération de ransomware-as-a-service, déchargeant la responsabilité sur des entrepreneurs qui attaquent les cibles et partagent les rançons. eSentire précise que, d’après ses recherches, les personnes derrière DarkSide n’étaient pas au courant de l’attaque Colonial avant qu’elle ne se produise, et ne l’ont appris que par les médias. Ils ont fait des vagues la semaine dernière lorsqu’ils ont prétendument arrêté toutes leurs opérations en raison de la surveillance accrue des forces de l’ordre.

Le ransomware a été par ailleurs impliqué dans de multiples attaques contre des producteurs d’énergie, comme l’une des plus grandes compagnies d’électricité du Brésil, Companhia Paranaense de Energia, touchée en février.

Beaucoup d’attaques ne sont pas signalées

Le dernier groupe étudié est Avaddon, qui a fait parler de lui cette semaine pour son attaque contre la grande compagnie d’assurance Axa. Fait remarquable, l’attaque a eu lieu après qu’Axa, qui fournit une cyberassurance à des dizaines d’entreprises, s’est engagé à ne plus rembourser ses clients en France pour les rançons payées.

En plus d’Axa, le groupe a également attaqué 46 organisations cette année, et opère en tant que ransomware-as-a-service comme DarkSide. Le rapport explique que le gang se distingue par la présence d’un compte à rebours sur son site du dark web, et par la menace supplémentaire d’une attaque DDoS si la rançon n’est pas payée. La liste des victimes comprend des organisations de soins de santé comme le Capital Medical Center à Olympia, Washington et Bridgeway Senior Healthcare dans le New Jersey.

L’équipe d’eSentire et Mike Mayes ajoutent que le grand nombre d’attaques non signalées indique que ces gangs « font des ravages contre beaucoup plus d’entités que le public ne le réalise ». Le rapport conclut qu’aucune industrie n’est à l’abri de ce fléau des ransomwares. « Ces attaques débilitantes se produisent dans toutes les régions et tous les secteurs, et il est impératif que toutes les entreprises et organisations du secteur privé mettent en place des protections de sécurité pour atténuer les dommages découlant d’une attaque par ransomware. »

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *