2023 a été une grande année pour les groupes de ransomwares, même si les forces de l'ordre du monde entier ont continué à sévir contre les attaquants. Un rapport fait état d'une augmentation de 49 % du nombre de victimes signalées par les sites de fuite de ransomware.L'unité 42 de Palo Alto Networks, la société de renseignement sur les menaces, a constaté une augmentation de 49 % du nombre de victimes signalées par les sites de fuite de ransomwares, soit un total de près de 4 000 messages sur ces sites provenant de différents groupes de ransomwares. Selon l'Unité 42, cette hausse est due à l'impact massif des attaques qui exploitent des vulnérabilités de type "zero-day", c'est-à-dire des failles de sécurité que les développeurs n'ont pas encore identifiées. Près de la moitié des victimes de ransomware identifiées par l'Unité 42 se trouvaient aux États-Unis, les secteurs les plus touchés étant l'industrie manufacturière, les services professionnels et juridiques et la haute technologie.
L'année dernière, l'Unité 42 a identifié 25 nouveaux sites de fuites proposant des ransomwares en tant que services. Mais au moins cinq d'entre eux semblent avoir fermé, car ils n'ont pas publié de nouveaux messages au cours du second semestre de l'année. Selon l'Unité 42, les quelque deux douzaines de nouveaux sites représentaient 25 % du nombre total de messages relatifs aux ransomwares en 2023.
Sites de fuite et base de données
L'analyse de l'Unité 42 est basée sur des données provenant de sites de fuites de ransomwares, parfois connus sous le nom de sites de fuites dédiés et abrégés en DLS (dedicated leak sites).
Les sites de fuite de ransomware sont apparus pour la première fois en 2019, lorsque le ransomware Maze a commencé à utiliser une double tactique d'extorsion. Volant les fichiers d'une victime avant de les chiffrer, Maze a été le premier groupe de ransomware connu à créer un site de fuite pour contraindre une victime et divulguer les données volées.
Ces acteurs de la menace poussent les victimes à payer - non seulement pour déchiffrer leurs fichiers, mais aussi pour empêcher les attaquants d'exposer publiquement leurs données sensibles. Depuis 2019, les groupes de ransomware ont de plus en plus adopté les sites de fuite dans le cadre de leurs opérations.
L'équipe de l'Unité 42 surveille les données de ces sites, souvent accessibles via le dark web, et examine ces données pour identifier les tendances. Comme les sites de fuite sont désormais monnaie courante parmi la plupart des groupes de ransomwares, les chercheurs utilisent souvent ces données pour déterminer les niveaux globaux d'activité des ransomwares et préciser la date à laquelle un groupe de ransomwares spécifique a été actif pour la première fois.
Toutefois, les défenseurs doivent utiliser les données relatives aux sites de fuite avec prudence, car elles ne reflètent pas toujours la réalité. Un groupe de ransomwares peut commencer sans site de fuite pendant qu'il construit son infrastructure et étend ses opérations. En outre, si une victime offre un paiement immédiat, l'incident de ransomware peut ne pas apparaître sur le site de fuite d'un groupe. Par conséquent, les sites de fuite ne donnent pas toujours une image claire et précise des activités d'un groupe de ransomwares. L'ampleur réelle de l'impact des ransomwares peut être différente de ce que ces sites suggèrent.
Malgré ces inconvénients, les données tirées des sites de fuite de ransomwares fournissent des informations précieuses sur l'état des opérations de ransomwares en 2023.
Principale conclusion
L'ensemble des données compilées révèle l'essor et le déclin des groupes de ransomwares en 2023, ainsi que les secteurs d'activité touchés et la répartition géographique des attaques. Plus important encore, le volume d'activité des ransomwares reflète l'impact à grande échelle des exploits "zero-day" ciblant des vulnérabilités critiques.
Vulnérabilités critiques
En 2023, Unité 42 a observé 3 998 messages provenant de sites de fuites de ransomwares, contre 2 679 messages en 2022. Cela représente une augmentation d'environ 49 % pour l'année.
L'augmentation de l'activité peut probablement être attribuée aux exploits "zero-day" ciblant des vulnérabilités critiques telles que CVE-2023-0669 pour GoAnywhere MFT ou CVE-2023-34362, CVE-2023-35036 et CVE-2023-35708 pour l'injection SQL de MOVEit Transfer.
CL0P s'est attribué la paternité de l'exploitation de la vulnérabilité du transfert MOVEit. En juin 2023, l'Agence américaine pour la cybersécurité et les infrastructures (CISA) a estimé que TA505, un groupe connu pour exploiter le ransomware CL0P, avait compromis plus de 3 000 organisations basées aux...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.