Ransomware: Les négociateurs sont désormais très demandés chez les cybercriminels
Selon les chercheurs, l’écosystème des Ransomware as a service (RaaS) est en train de devenir de se sophistiquer, avec de nouveaux recrutements de “négociateurs”, dont le rôle est d’extorquer aux victimes le paiement d’une rançon.
Jeudi, Victoria Kivilevich, analyste des renseignements sur les menaces chez KELA, a publié les résultats d’une étude sur les tendances en matière de RaaS, affirmant que les attaques menées par une seule personne ont presque “complètement disparu” en raison de la nature lucrative du commerce criminel des ransomwares.
Les gains financiers potentiels arrachés aux entreprises qui cherchent désespérément à débloquer leurs systèmes ont donné naissance à des spécialistes de l’extorsion et ont également entraîné une forte demande pour des individus capables de prendre en charge la partie négociation d’une chaîne d’attaque.
Les rançongiciels peuvent être dévastateurs non seulement pour les activités d’une entreprise, mais aussi pour sa réputation et son bilan. Si les attaquants parviennent à frapper un fournisseur de services utilisé par d’autres entreprises, ils peuvent également être en mesure d’étendre rapidement leur surface d’attaque à d’autres entités.
Dans un cas récent, des vulnérabilités de type “zero-day” dans le logiciel VSA fourni par Kaseya ont été utilisées, pendant le week-end des vacances américaines, pour compromettre des terminaux et mettre les organisations en danger d’infection par ransomware. À l’heure actuelle, on estime que jusqu’à 1 500 entreprises ont été touchées.
Selon KELA, une attaque typique de ransomware comprend quatre étapes : l’acquisition du code/malware, la propagation et l’infection des cibles, l’extraction des données et/ou le maintien de la persistance sur les systèmes touchés, et la monétisation.
Il existe des acteurs dans chaque “domaine” et, récemment, la demande pour des spécialistes de l’extraction et de la monétisation a augmenté au sein des groupes ransomwares.
L’émergence de soi-disant négociateurs dans le domaine de la monétisation, en particulier, est maintenant une tendance dans l’espace RaaS. Selon les chercheurs de KELA, on assiste à l’apparition d’un plus grand nombre d’acteurs malveillant qui gèrent l’aspect négociation, tout en faisant monter la pression via des appels téléphoniques, des attaques par déni de service distribué (DDoS), ou des menaces de fuite des informations volées.
KELA suggère que ce rôle a émergé en raison de deux facteurs potentiels : la nécessité pour les groupes de ransomware de repartir avec une marge bénéficiaire décente et le besoin de personnes capables de parler l’anglais pour mener des négociations efficaces.
“Cette partie de l’attaque semble également être une activité externalisée, du moins pour certains affiliés et/ou développeurs”, explique M. Kivilevich. “L’écosystème des ransomwares ressemble donc de plus en plus à une entreprise avec des rôles diversifiés à l’intérieur de l’entreprise et de multiples activités externalisées.”
Les courtiers en accès initial, eux aussi, sont très demandés. Après avoir observé l’activité du dark web et des forums pendant plus d’un an, les chercheurs affirment que le prix de l’accès aux réseaux compromis a bondi. Certaines cotations sont désormais de 25 à 115 % supérieures à celles enregistrées précédemment, en particulier lorsque l’accès au niveau administrateur de domaine a été obtenu.
Source : KELA
Ces spécialistes des intrusions peuvent espérer obtenir entre 10 et 30 % du paiement d’une rançon. Toutefois, il convient de noter que certains de ces courtiers ne travailleront pas du tout avec des ransomwares et ne participeront qu’aux attaques dirigées contre d’autres cibles, comme celles qui conduisent à l’obtention de données de cartes de crédit.
“Au cours des dernières années, les groupes de ransomware se sont transformés en sociétés cybercriminelles avec des membres ou des “employés” spécialisés dans différentes parties des attaques et divers services d’accompagnement”, a commenté KELA. “La récente interdiction des ransomwares sur deux grands forums russophones ne semble pas affecter cet écosystème car seule la publicité pour les programmes d’affiliation a été interdite sur les forums.”
Source : “ZDNet.com”
