Ransomware : mieux comprendre la menace
Introduction
Les cyberattaques avec ransomware sont de plus en plus incontournables dans les médias, en France et au-delà. Cette médiatisation accrue est notamment le fait de la multiplication d’attaques aux effets souvent bien visibles : la paralysie du système d’information des victimes ne s’avère que rarement facile à cacher. Dès lors, il est difficile de dissimuler la matérialité d’un grave incident de cybersécurité.
Pour autant, la menace apparaît encore largement incomprise. D’ailleurs, les idées reçues erronées ne manquent pas sur le sujet. Comprendre les méthodes des cybercriminels est toutefois essentiel pour mieux se protéger, se préparer, et savoir comment réagir en cas d’attaque, afin d’aider les forces de l’ordre à enquêter et perturber l’activité des malfaiteurs.
Un petit tour en coulisses s’impose donc, pour voir comment les attaques sont préparées – parfois longtemps à l’avance – mais également comment les cybercriminels essaient de blanchir les crypto-actifs extorqués à leurs victimes. De quoi découvrir comment leurs échecs en la matière font les succès des enquêteurs de la Police nationale et de la Gendarmerie.
Tous les groupes impliqués dans des attaques avec ransomware ne se ressemblent pas. Certains sont plus discrets que d’autres, plus structurés ou au contraire plus ouverts et divers dans leur niveau de sophistication et d’ingéniosité. L’un d’entre eux, Conti – une véritable PME de la cybercriminalité – mérite une attention toute particulière. Surtout à l’heure où cette franchise semble en phase de dilution pour cacher ses activités derrières d’autres marques.
1Décryptage-
Mieux comprendre la menace
Ransomware : 9 idées reçues contredites par la réalité des cyberattaques
Certaines idées reçues ont la vie dure, en matière de cyberattaques avec ransomware. La plupart de ces mythes, ou légendes urbaines ont un point commun : elles peuvent conduire à développer un faux sentiment de sécurité. D’où l’importance de rétablir la réalité de la menace. Lire la suite
Ransomware : passé par ici, il repassera par là
Plusieurs organisations ayant été attaquées avec un ransomware ont récemment été touchées avec un second. L’indication potentielle du passage d’un attaquant d’une franchise mafieuse à une autre, mais aussi un rappel de l’importance d’un nettoyage en profondeur. Lire la suite
Ransomware : combien de temps avant que tout ne soit divulgué ?
Selon les cyberdélinquants, la revendication de l’attaque, puis la divulgation de données volées peuvent aller très vite… ou attendre quelques mois. Voire plus pour certaines données proposées à la vente sur des places de marché spécialisées. Lire la suite
Ransomware : combien de victimes en devenir qui s’ignorent encore ?
Le système d’information de votre organisation est peut-être, voire même probablement, déjà noyauté par un, sinon plusieurs cyberdélinquants. Il est peut-être temps d’en prendre conscience avant de devenir le suivant, sur la liste des victimes. Lire la suite
Ransomware : le rôle clé des courtiers en accès initiaux
Les « initial access brokers » sont des cybermalfaiteurs ayant réussi à prendre pied dans le système d’information d’une organisation et qui revendent cet accès à des tiers susceptibles d’attaquer avec un ransomware. Lire la suite
2Investigations-
Dans les pas des cybercriminels
FIC 2022 : Comment les criminels brouillent les pistes de leurs transactions en crypto-actifs
Les spécialistes des investigations financières sur la blockchain notent de nouvelles tendances émergentes dans l’utilisation des crypto-actifs par les criminels. Lire la suite
Cyberattaque : pourquoi la transparence est essentielle avec les forces de l’ordre
En cas de cyberattaque, avec ransomware – ou plus généralement toute forme d’extorsion – porter plainte et être totalement transparent avec la gendarmerie ou la police nationale est essentiel pour lutter contre la cyberdélinquance. Lire la suite
Cyberextorsion : Beauvau veut rendre obligatoire la déclaration du paiement de rançon
Le projet de loi d’orientation et de programmation du ministère de l’Intérieur, pour les 5 années à venir, souligne le rôle croissant du suivi des mouvements financiers, dans la lutte contre la cyberdélinquance, et notamment les ransomwares. Lire la suite
Ransomware : le groupe Conti continue d’amasser les millions
À ce jour, le groupe semble avoir réussi à extorquer moins de victimes ce mois-ci qu’en octobre. Mais l’une d’entre elles a probablement versé 120 bitcoins, faisant exploser les compteurs de la franchise Conti. Lire la suite
3Cybercriminalité-
Pleins feux sur Conti
Ransomware : le jeu toujours un peu plus trouble de Conti
À quoi jouent les membres de la franchise mafieuse Conti ? Le groupe apparaît multiplier les revendications tardives d’attaques remontant à plusieurs mois. Et certaines apparaissent également du côté de la franchise Hive. Lire la suite
Karakurt : la filiale de Conti qui extorque sans ransomware
Au fil des mois derniers, Karakurt a multiplié les erreurs, dévoilant finalement son vrai visage : une filiale de la franchise Conti qui ne s’en distingue que par l’absence de chiffrement des données chez ses victimes. Lire la suite
Ransomware : comment les Conti préparent leurs cyberattaques
Les conversations entre membres du cybergang Conti montrent qu’il dispose d’accès initiaux aux systèmes d’information de nombreuses organisations à travers le monde. Et pour certains, depuis plusieurs mois, alors qu’aucune attaque n’a encore été tentée. Lire la suite
Conti : dans les coulisses d’un cybergang aux allures de PME
Le gang de cyber-rançonneurs a compté jusqu’à plus d’une centaine de membres avant de voler en éclats, à l’occasion d’une fuite de données massive motivée par l’invasion de l’Ukraine par la Russie. L’occasion d’une plongée au cœur de l’organisation mafieuse Conti. Lire la suite
Ransomware : ce que les négociations dévoilent des attaquants
Pour l’infiltration et le vol de données, les cyberdélinquants ont des habitudes, de véritables signatures contribuant à l’attribution des attaques. Cela vaut également pour leur manière de conduire les négociations. Exemples. Lire la suite
4Ecosystème-
Gros plan sur quelques groupes
Que sait-on du ransomware BlackCat ?
Découvert début décembre, ce ransomware se distingue par le langage de programmation utilisé pour son développement, Rust. Il s’avère hautement personnalisable et peut toucher les systèmes Windows, Linux, ainsi que les environnements virtualisés VMware ESXi. Lire la suite
Ragnar Locker : un cybergang discret, mais redoutable
Selon le FBI, ce gang a réussi à frapper au moins 52 entités « sur dix secteurs d’infrastructure critique ». En comparaison, on ne lui connaît que 43 victimes à travers le monde. De quoi suggérer un groupe aux activités limitées, mais méthodiques. Lire la suite
Que sait-on du groupe Lapsus$ ?
Connu depuis la fin 2021, le groupe Lapsus$ s’est récemment fait remarquer par le vol de données chez de grandes entreprises telles que Nvidia, Samsung, Ubisoft, ou encore Microsoft. Des membres présumés ont été interpelés. Lire la suite
Hive : une franchise de ransomware redoutablement active
Les travaux de Group-IB montrent que la franchise de ransomware Hive a été impliquée dans plus de 350 cyberattaques à mi-octobre, un nombre bien supérieur à celui des victimes identifiées à ce jour. Lire la suite
Ransomware : ce que l’on sait du nouveau Night Sky
Apparemment lancée fin décembre 2020, cette nouvelle franchise de rançongiciel présente des liens de parenté avec Rook et, par là même, le disparu Babuk. Ses affidés ont commencé à exploiter la vulnérabilité Log4Shell. Lire la suite
Ce que l’on sait du ransomware Darkside
Ce ransomware vient d’être impliqué dans la cyberattaque menée contre l’Américain Colonial Pipeline et qui a conduit ce dernier à arrêter son informatique. Le point sur ce que l’on sait de Darkside. Lire la suite