Catégories
Attaque Bitcoins Conti Déchiffrement informatique Ransomware Service informatique

Des cybercriminels attaques des Ransomwares.

Un membre du groupe de Ransomware Conti, visiblement insatisfait des négociations de groupe, a publié plusieurs documents en ligne décrivant les méthodes et les outils recommandés pour cibler les entreprises.

Des cybercriminels attaques des Ransomwares.

Si la fuite ne révèle pas de nouveau fondamental, il permet de mettre en évidence le fonctionnement de ces groupes « Ransomware en tant que service » composé d’un petit nombre d’opérateurs sur le chef de programme qui prend en charge les négociations et la récupération de la rançon et de nombreux « Affecté », responsable de la compromission sur le système informatique de la victime ou de la mise en œuvre des étapes initiales de la détonation du Groupe fourni par le groupe. Les rancingions sont ensuite réparties entre les différents membres du groupe conformément au rôle de chacun suivant: Selon le Soft Computer réserve les opérateurs du groupe Normalement 20 à 30% de la rançon et renvoie le reste de la somme à trouver dans le compromis , le système informatique de la victime.

Dans ce cas, les membres insatisfaits prétendent avoir reçu «seulement» 1500 dollars à la suite d’une rançon, qu’il lui a dit, a motivé sa décision de diffuser les documents. Une source anonyme citée par Soft Computer Progresser une autre théorie: cybercriminal à l’origine du couvercle des données aurait été interdit par les Conti opérateurs après avoir pris la promotion d’un concurrent ransomware.

Dans cette archive, 37 documents texte donnant des indications sur l’utilisation de plusieurs outils utilisés par les membres de la groupe Conti: Cobalt Strike, un outil de test de pénétration souvent utilisé par les cybercriminels, la métasploite et et les tutoriels pour expliquer l’utilisation de l’utilisation de Les erreurs, telles que le zérologon ou les méthodes de facilitation des mouvements latéraux dans les systèmes informatiques infectés.

Catégories
Armée Attaque Déchiffrement informatique Ransomware Sécurité Service informatique Technologie

Malware Data Destroyeur en Iran « Wiper Meteor »

Les chercheurs de la Sentinelone CyberSecurity Society ont reconstitué la récente cyberattack contre le système ferroviaire iranien dans un nouveau rapport qui découvre un nouvel acteur malveillant – qu’ils s’appellent « MeteorExpresss ».

Malware Data Destroyeur en Iran Wiper Meteor

Le 9 juillet, les médias locaux locaux ont commencé à signaler une cybercrattage sur le système ferroviaire iranien, avec des pirates qui changent d’affichage dans les stations en demandant aux passagers d’appeler « 64411 », le numéro de téléphone du guide suprême.

Les services ferroviaires ont été interrompus et aujourd’hui, plus tard les attaquants du ministère iranien des Transports. Selon Reuters, le portail et les sous-sports du ministère ont cassé une attaque sur les ordinateurs et le développement urbain de l’ordinateur.

Wiper Meteor du jamais vu!

WIPER est capable de changer de mots de passe pour tous les utilisateurs, de désactiver les épargnants d’écran, de mettre fin à un processus basé sur une liste des processus cible, d’installer un bloqueur d’écran, de la fonction de récupération de désactivation, de modifier le traitement des erreurs politiques de démarrage, de créer des tâches planifiées, de déconnecter des tâches planifiées, de déconnecter des tâches planifiées. Sessions, supprimez des copies d’ombre, modifiez des images de l’écran de verrouillage et de l’exécution. Exigences.

LIENS 1 / 2

Catégories
Déchiffrement Etude informatique

Sur le web, le prix moyen d’accès à une d’entreprise? 10 000 $

Un nouveau rapport de Intsights a mis en évidence le marché de l’accès aux réseau d’entreprise sur le Web.

Sur le web, le prix moyen d’accès à une d’entreprise 10 000 $

L’étude note que ces types d’accès continuent d’être utilisés dans des attaques de ransomware dans le monde entier. Des forums permettent la mise en œuvre d’un système décentralisé, où des cybercriminels moins qualifiés peuvent s’appuyer sur eux pour différentes tâches, permettant ainsi à la plupart des opérateurs de ransomware d’acheter un accès.

Sur les forums et les marchés, des cybercriminels donnes accès à un ensemble de logiciels malveillants, d’outils malveillants, d’infrastructures illicites et de données, de comptes et d’informations de carte de paiement compromis. La plupart des forums et des marchés les plus sophistiqués sont en russe, mais il existe également de nombreux forums en anglais, espagnol, portugais et allemand.

Parfois, les attaquants se rendent compte qu’ils sont dans un réseau sans données pouvant être volés ou vendus et décide de vendre l’accès aux groupes de ransomware.

LIEN

Catégories
Attaque Bitcoins Déchiffrement Etude informatique presse Ransomware revil Sécurité Service informatique Technologie

Kaseya prétend avoir payé aucune rançon

L’éditeur logiciel Kaseya a refusé d’avoir payé une rançon pour un déchiffrement universel après plusieurs jours avec des questions sur la manière dont l’outil est atteint.

Le 21 juillet, la Société a annoncé qu’un outil de déchiffrement universel a été réalisé grâce à une «tierce partie» et a travaillé avec Emsisoft Security Company pour aider les victimes de l’attaque de Ransomware REvil.

Kaseya prétend avoir payé aucune rançon

Lundi, Kaseya a publié une déclaration qui refuse des rumeurs qu’elle aurait payé une rançon sur REvil, le groupe Ransomware, a lancé l’attaque. REvil a demandé à l’origine une rançon de 70 millions de dollars, mais l’aurait réduit de 50 millions de dollars avant que tous ses sites Web ne disparaissent le 13 juillet.

Theresa Payton, ancien directeur des informations de la Maison-Blanche et expert en cybersécurité, a déclaré que les accords non-informations après les attaques sont plus fréquents que vous ne pourriez penser, mais a noté que « demander un accord sur les non-renseignements aux victimes n’est pas une pratique quotidienne pour chaque incident ».

« Lorsqu’un incident affecte davantage de victimes, le conseiller juridique demande à signer un accord sur les non-renseignements pour que la solution du problème ne soit pas publiée », a déclaré Payton.

Payton a ajouté que les causes de la demande de contrat de non-publication ne sont pas toujours mauvaises et invitées à consulter leurs avocats avant de signer quelque chose.

La société et la manière dont l’outil de décryptage universel a été atteint? Selon la presse, la société a chargé un accord de non-publication aux entreprises souhaitant profiter de cet outil.

« Nous certifions clairement que Kaseya n’a pas payé la rançon, que ce soit directement ou indirectement à travers un tiers, pour obtenir du déchiffrement », déclare la déclaration de Kaseya.

« Bien que chaque entreprise devait prendre sa propre décision sur le paiement de RanSom, Kaseya a décidé après avoir consulté des experts, de ne pas négocier avec les criminels qui ont commis cette attaque et que nous n’arrêtions pas de cet engagement. »

Selon la Déclaration, l’équipe d’intervention des incidents d’Emsisoft et de Kaseya a travaillé tous les week-ends pour fournir un déchiffrement avec certaines des 1 500 victimes touchées par l’attaque, y compris une grande chaîne de supermarchés en Suède, de l’Université Virginia Tech et des ordinateurs gouvernementaux locaux à Leonardtown, dans le Maryland.

La société a déclaré qu’elle avait appelé à toutes les victimes de manifester et d’ajouter que l’outil « s’est avéré 100% pour déchiffrer les fichiers complètement cryptés lors de l’attaque ».

Si la nouvelle d’un décendrier universel a été accueillie par des centaines de victimes touchées, certains soulignent qu’il existait un accord de non-information que Kaseya audacieuse les entreprises à signer l’échange d’outils.

CNN a confirmé que Kaseya a exigé un accord de non-information (NDA) d’accéder au déchiffrement. Dana Liedholm, porte-parole de Kaseya et plusieurs sociétés de cyber-sécurité impliquées, ont déclaré à ZDN et qu’ils ne pouvaient pas commenter cet accord.

LIEN

Catégories
Attaque Europe informatique presse Sécurité Service informatique Technologie

L’espace de cybersécurité Européen hacké ?

Cet atlas, disponible sur le site officiel (cybersecurity-atlas.ec.europa.eu), est destiné à réunir des professionnels européens de la sécurité de l’information. houston Bruxelles nous avons un problème!

L’espace de cybersécurité Européen hacké

Un utilisateur est néanmoins de restaurer toutes ces données pour leur suggérer de revendre à la discorde. Les journalistes records ont réussi à mettre la main sur la base de données pour confirmer l’authenticité et confirmer que les données proposées correspondent réellement au site. Parmi les soumissions de données, nous trouvons des adresses électroniques, des adresses de contact, des détails organisationnels ou le nom des personnes à contacter. Données déjà publiées et accessibles à ceux qui ont enregistré un compte sur le site Web de Cybersecurity Atlas.

Mais plus que les données ont la saisie réalisée pour confirmer que la base de données était directement à partir des systèmes informatiques du site Web de Cybersecurity Atlas et ne provenait donc pas d’une simple « raclage » des données d’un utilisateur.

La couverture de données avait été repérée par le site de Zataz: sur un forum spécialisé dans la revente des données volées suggéré un utilisateur qui a été suggéré depuis lundi un lot de fichier du projet CybersSecurity Atlas. Ce projet de la Commission européenne vise à indiquer les adresses de contact de diverses agences et des personnes impliquées dans des questions de cybersécurité européenne. Catalogue de la cybersécurité au niveau européen, lancé en 2018. Ce dossier était disponible publiquement et autorisé des entreprises, des chercheurs et des universitaires à enregistrer et à laisser leurs coordonnées d’accès ouvert.

Catégories
Etude hyères informatique Ragnar Locker Sécurité Service informatique Technologie Uncategorized

Accenture et attaque de ransomware? Tout est bon!

Parmi les victimes du groupe Lockbit, Accenture, mais l’entreprise garantit que l’attaque est sous contrôle.

Accenture et attaque de ransomware Tout est bon!

Accenture a été parmi les victimes du groupe Lockbit avec un compte à rebours dont les déclencheurs étaient programmés le 11/08/2021.

Dans une déclaration, un porte-parole a minimisé l’incident et a affirmé qu’il n’avait qu’une petite influence sur les affaires de la société. Accenture a réalisé un chiffre d’affaires de plus de 40 milliards de dollars l’an dernier et compte plus de 550 000 employés dans plusieurs pays.

Accenture, une entreprise de conseil à services et technologies minimise l’importance d’une prétendue attaque de Ransomware, annoncée par Lockbit Group.

De nombreux internautes interrogent le montant des données volées pendant l’attaque et note qu’il n’est pas susceptible que l’attaque vienne du groupe.

Accenture n’a pas répondu aux questions pour déterminer s’il s’agissait d’une attaque effectuée à l’aide d’un employé.

Dans un rapport d’accent publié la semaine dernière, la Société a déclaré que 54% de toutes les victimes de Ransomware ou d’APRESTORT étaient des entreprises dont le chiffre d’affaires annuel était compris entre 1 et 9,9 milliards de dollars.

Accenture propose un certain nombre de services à 91 des 100 meilleures sociétés de classification de la fortune et des centaines d’autres entreprises. Les services informatiques, les technologies de fonctionnement, les services cloudis, la mise en œuvre de la technologie et les conseils ne sont que quelques-uns des services que la société est basée en Irlande offre à ses clients. En juin, la société a acheté Umlaut, une entreprise d’ingénieurs allemands pour élargir sa présence dans le cloud, l’IA et la 5G. Elle a également acquis trois autres entreprises en février.

L’Australian Cyber ​​Security Center a publié un résumé du vendredi indiquant que le groupe Ransomware Lockbit après une petite chute d’opération a été ravivé et intensifié ses attaques.

Selon l’Agence australienne, les membres du Groupe exploitent activement les vulnérabilités existantes dans les produits FORTITITINE FORMIPROXY identifiés par le lancement de la CVE-2018-13379 pour obtenir le premier accès aux réseaux de victimes spécifiques.

« La CCCAA est consciente de nombreux événements impliquant des verrouillements et son successeur » Lockbit 2.0 « en Australie depuis 2020. La majorité des décès connus de la CCAA ont été signalés après juillet 2021, ce qui indique une augmentation nette et significative des victimes nationales par rapport à d’autres variantes de ransomware, « Ajoute le communiqué de presse.

« La CCAA a observé des filiales de lockbit ont mis en œuvre avec succès des ranesomwares sur des systèmes d’entreprise dans divers secteurs, y compris des services professionnels, de la construction, de la fabrication, de la vente au détail et du régime alimentaire. »

En juin, l’équipe de l’intelligence de la menace Poina a publié un rapport qui enquête sur le bit de verrouillage de la structure RAAS et son inclinaison d’acheter un accès au protocole de bureau externe pour les serveurs en tant que vecteur d’attaque initial.

Le groupe exige généralement 85 000 $ en moyenne des victimes et si une tierce partie revient sur les opérateurs de la RAA. Plus de 20% des victimes d’un tableau de bord consulté par les chercheurs d’énergie appartenaient au secteur des logiciels et des services.

« Les services commerciaux et professionnels ainsi que le secteur des transports sont également très ciblés par le groupe Lockbit ».

Catégories
Attaque Etude informatique prix Ransomware Sécurité Service informatique

Cyber ​​attaques d’entreprises, plus chères que prévu!

À l’origine de telles attaques, l’argent est à nouveau et la principale motivation. Qu’il soit réclamé par une demande de rançon ou réalisée par la revente de données, il est toujours au cœur des préoccupations du commerce. Afin d’atteindre leurs objectifs, ce dernier doit donc utiliser une stratégie qui nécessite parfois plusieurs mois de préparation en fonction de la structure ciblée. Dans certains cas, les hackers cherchent à s’infiltrer très tôt et à mettre leurs programmes en dortoir à travers la gravité de l’offuscation. Ils peuvent effacer leurs morceaux et déclencher leurs attaques quelques semaines / mois plus tard.

Cyber ​​attaques d’entreprises, plus chères que prévu!

Il sera nécessaire de s’habituer à ce que la numérisation croissante apporte avec ses nombreux problèmes, et parmi ceux-ci sont des cyberattaques. Leur puissance et leur structure varient selon l’objectif sélectionné, mais la conséquence est identique à toutes les victimes: une immobilisation totale ou partielle de l’appareil productif pour une période indéterminée. Suit une vraie galère pour les structures qui cherchent à se remettre de ces attaques.

Au cœur de la méthode d’une cyberattaque, la première étape consiste à reconnaître, il consiste à récupérer des informations maximales – courriels, téléphones, noms – sur une ou plusieurs de la société. Cette phase d’ingénierie sociale permet de trouver un point d’entrée qui, dans la plupart des cas, c’est l’e-mail. Que vous utilisiez la méthode de phishing, l’installation de logiciels malveillants ou des arnaques d’utilisateurs pour le président, l’objectif, une fois dans les systèmes d’information, effectuez des mouvements. Latérales qui permettent aux pirates d’infiltrer et de toucher d’autres éléments du réseau de la société. L’attaque implémente plus largement et capture ainsi davantage de données et paralysant les serveurs internes.

Le mode survie d’une entreprise

L’un des premiers réflexes pour les entreprises est de couper leurs systèmes d’information pour limiter la pause et empêcher l’attaque de la propagation de l’interne. Un réflexe de survie qui leur permet d’organiser une réponse et d’accélérer le retour à une situation normale. Si les instructions des systèmes d’information, pour les entreprises qui les possèdent sont sur le pied de la guerre, ils ne peuvent que voir les dommages causés.

Dans un processus de retour au processus normal, certaines entreprises peuvent décider de payer immédiatement une rançon en violation des autres essayant de résoudre le cambriolage de leur système d’information. Dans les deux cas, il n’est jamais certain que ce type d’attaque ne se reproduise plus. Il est donc utile de veiller à ce qu’il existe une stratégie de prévention en tant que plans de restauration de l’activité (PRA), qui sont déclenchés à la suite d’une catastrophe. Il investira également dans des solutions de protection des applications ainsi que ceux qui visent à découvrir des attaques et à les bloquer en amont. En bref, il n’est pas question de savoir si le système d’information sera touché, mais plutôt quand ce sera.

Les solutions contre les cyberattaque

Malgré toutes les dispositions technologiques prises, de nouvelles attaques de plus en plus puissantes et pervers seront en mesure de contourner les nombreux systèmes de sécurité créés par des entreprises. L’un des défis des années à venir est donc au niveau de la prévention de l’homme. L’idée d’un pare-feu humain n’est possible que si les employés de la société sont formés pour reconnaître les signes d’une cyberattaque. Cet aspect sera tout important car la transition numérique des entreprises s’est largement accélérée depuis la crise CVIV-19 et le nombre de cyberattaques multiplié par quatre entre 2019 et 2020 en France. Il est donc important et urgent d’introduire un système de responsabilité commune qui ne permettra pas de mieux faire du risque pour mieux préparer les entreprises aux futures attaques.

Et ceux-ci peuvent avoir un impact très important sur la production et conduire à une immobilisation pendant un certain temps. Les récentes cyberattaques ont assisté à un pipeline colonial, un grand réseau de pipelines pétroliers, qui porte près de 45% des combustibles de la côte est aux États-Unis et qui a provoqué un lieu de fourniture pendant plusieurs jours. Cela a généré des mouvements de panique dans la population, entraînant des lacunes dans certaines stations-service. En fin de compte, la société a dû payer près de 4,4 millions de dollars de rançon aux pirates. Des exemples tels que celui-ci montrent qu’une immobilisation de la production, voire de courte durée, peut entraîner des pertes financières importantes pour les entreprises touchées par les cyberattaques ainsi que pour les acteurs de leur écosystème.

Catégories
Attaque Déchiffrement informatique Ransomware revil Sécurité

REvil ; Kaseya prétend avoir la clé de déchiffrement

La société de logiciels américano-cano-kaseya a maintenant accès à la clé de déchiffrement universelle du Ransomware REvil, qui a affecté ses clients qui sont des fournisseurs de services gérés.

La société a annoncé son accès à l’outil de déchiffrement jeudi 22 juillet , environ 20 jours après l’attaque de Ransomware, qui a eu lieu le 2 juillet.

REvil ; Kaseya prétend avoir la clé de déchiffrement

L’attaque a touché directement 60 ses clients et jusqu’à 1 500 de leurs clients en aval. Les caisses de la chaîne Suédoise Coop Supermarket n’ont pas été inaccessibles pendant presque une semaine en raison de l’attaque. Ils avaient été infectés dans tout le pays avec une mise à jour logicielle corrompue du produit de Kaseya, CSR, qui permet de distribuer des mises à jour logicielles pour des périphériques embarqués et sur l’ensemble de la flotte d’ordinateurs gérés. En Nouvelle-Zélande, les écoles utilisant le logiciel Kaseya ont également été touchées.

Kaseya a maintenant une clé de déchiffrement pour les clients concernés par le Ransomware REvil.

Selon Kaseya, la société de sécurité de la Nouvelle-Zélande Emsisoft a confirmé que l’outil de déchiffrement vous permet de déverrouiller des fichiers cryptés avec la révolution.

« Nous pouvons confirmer que Kaseya a obtenu un outil tiers et que son équipe aide activement les clients affectés par Ransomware à restaurer leurs environnements sans aucun rapport sur aucun problème lié au Decrypeter. La société indique dans une déclaration.

« Kaseya travaille avec Emsisoft pour soutenir les efforts de nos clients et Emsisoft confirme que la clé est efficace pour déverrouiller les victimes ».

Les sites Web du groupe Revil ont été clos la semaine dernière après que le président américain Joe Biden a demandé au président russe Vladmir Poutine d’agir contre des cybercriminels basés à la Russie destinée aux entreprises américaines. Joe Biden aurait déclaré au président russe que des infrastructures critiques devraient être hors périmètre en termes de cybercriminalité.

Une autre attaque du Ransomware de Darkside avait pris le distributeur de carburant colonial de retour sur la côte est aux États-Unis en mai. Certains experts en matière de sécurité estiment que l’attaque contre le pipeline colonial a propulsé la question des ranchants au rang de discussion diplomatique et invite les revenus à suspendre ses activités.

Nous ne savons pas si Kaseya a payé la demande de rançon de 70 millions de dollars. La société aurait obtenu la clé de déchiffrement avec un « tiers de confiance » basé sur un porte-parole signalé par le tuteur.

Bien que certains clients kashasia-aval ont corrigé les systèmes attribués, les points d’extrémité de certains clients ont été hors ligne et pouvaient restaurer des systèmes avec la clé de déchiffrement.

Un client anonyme la semaine dernière a déclaré qu’il a payé une rançon pour révéler le groupe. Mais cela n’a pas pu déchiffrer les fichiers cryptés avec la clé de déchiffrement. REvil vendu son ransomware en tant que service à des groupes de cybercriminels.

Catégories
Attaque informatique Ransomware revil Sécurité Service informatique Uncategorized

Qui est Kaseya la victime d’un « Nouveau » ransomware?

La cyberattaque qui a frappé la société informatique Kaseya le week-end dernier a contraint la chaîne de supermarchés suédoise Coop à fermer plus de 800 magasins et supérettes. L’attaque ricoche et peut toucher plus de 1 500 entreprises dans le monde. Et les marques françaises ?

Kaseya développe des solutions et des services pour les fournisseurs de services gérés (MSP). Vendredi, alors que la plupart des Américains étaient prêts à fêter le week-end du 4 juillet, l’entreprise a subi une attaque contre l’une de ses solutions, Kaseya USA. Cela permet aux utilisateurs de distribuer des mises à jour et de surveiller à distance les systèmes informatiques de leurs clients.

Cependant, il y avait une vulnérabilité sur le système. Cela avait été découvert par le DIVD, l’Institut néerlandais de détection des vulnérabilités, qui avait prévenu l’entreprise. Kaseya l’a donc corrigé et le correctif a même été validé lorsque REvil ou l’une de ses filiales a frappé et exploité la vulnérabilité zero-day pour mener son attaque. À ce stade, peu de détails ont été publiés sur ce bug, sauf qu’il était assez facile à exploiter.

Grâce à cela, le groupe de hackers a pu diffuser des fichiers malveillants sous couvert d’une mise à jour automatique de Kaseya VSA et diffuser des ransomwares aux MSP utilisant la solution mais aussi à leurs clients. Il n’est pas encore possible de savoir exactement combien d’entreprises ont été touchées par cette attaque, mais il a été estimé vendredi que plus de 1 000 d’entre elles ont vu leurs fichiers cryptés alors que REvil avance le chiffre d’un million sur son site internet.

Caisses inopérantes, magasins fermés… Une cyberattaque sans précédent est devenue sa première victime en Europe, le groupe de supermarchés suédois Coop, qui représente 20% du secteur dans le pays, a été paralysé samedi 3 juillet par la cyberattaque contre l’entreprise américaine Kaseya. , spécialiste de l’infogérance informatique. 800 magasins sont toujours fermés pendant quatre jours, les caisses enregistreuses sont bloquées et hors d’usage.

C’est par l’intermédiaire d’un de leurs sous-traitants informatiques, Visma Escom, lui-même touché par la cyberattaque, que le système informatique interne de l’entreprise suédoise a été piraté. L’attaque a également touché plusieurs pharmacies suédoises et la compagnie ferroviaire du pays. Plus précisément, les pirates ont attaqué le logiciel phare de Kaseya, « VSA », conçu pour gérer de manière centralisée les réseaux de serveurs, contrôler et sécuriser les systèmes informatiques. Ils ont choisi la méthode des ransomwares, qui consiste à installer des logiciels malveillants qui bloquent toutes les machines ou ordinateurs ciblés jusqu’à ce que leurs propriétaires paient une rançon.

Jusqu’à 1 500 entreprises impliquées
Sur ses 40 000 clients, Kaseya estime que moins de 60 clients ont été touchés. Problème, la plupart d’entre eux gardent les clients pour eux-mêmes, ce qui facilite la propagation de l’attaque.

Catégories
Attaque Etude informatique Ransomware Sécurité Service informatique

Négociateurs en recrutement chez les cybercriminels

L’écosystème des Ransomware as a service (RaaS) recrute pour forcer les victimes à payer.

Victoria Kivilevich, analyste du renseignement sur les menaces chez KELA, a publié les résultats d’une étude de tendance RaaS, affirmant que les attaques individuelles ont presque « disparu » en raison de la nature lucrative du système. Commerce de ransomwares criminels.

Les gains financiers potentiels des entreprises cherchant désespérément à déverrouiller leurs systèmes ont donné lieu à des spécialistes du chantage et ont également entraîné une énorme demande d’individus capables de prendre en charge le côté négociation d’une chaîne d’attaque.

Les ransomwares peuvent être dévastateurs non seulement pour les activités d’une entreprise, mais aussi pour sa réputation et ses résultats. Si des attaquants réussissent à toucher un fournisseur de services utilisé par d’autres entreprises, ils peuvent également être en mesure d’étendre rapidement leur surface d’attaque à d’autres appareils.

Dans un cas récent, des vulnérabilités zero-day dans des logiciels américains fournis par Kaseya ont été utilisées pendant le week-end férié américain pour compromettre les terminaux et exposer les organisations à un risque d’infection par ransomware. On estime actuellement que jusqu’à 1 500 entreprises ont été touchées.

Selon KELA, une attaque de ransomware typique comporte quatre phases : acquisition de code/malware, propagation et infection des cibles, extraction de données et/ou persistance de la maintenance sur les systèmes affectés et génération de revenus.

Il y a des acteurs dans chaque « domaine », et récemment, la demande de spécialistes de l’exploitation minière et de la génération de revenus a augmenté parmi les groupes de ransomware.

L’émergence de revendeurs en particulier dans le domaine de la monétisation est désormais une tendance dans l’espace RaaS. Selon les chercheurs du KELA, on assiste à l’émergence d’un grand nombre d’acteurs malveillants contrôlant l’aspect négociation, tout en augmentant la pression via les appels téléphoniques, les attaques par paralysie distribuée (DDoS) ou les menaces de fuite d’informations volées.

KELA suggère que ce rôle est dû à deux facteurs potentiels : le besoin pour les groupes de ransomware de s’en tirer avec une marge bénéficiaire décente et le besoin de personnes parlant anglais pour mener des négociations efficaces.

« Cette partie de l’attaque semble également être une activité externalisée, au moins pour certaines filiales et/ou développeurs », explique Kivilevich. « L’écosystème ransomware ressemble donc de plus en plus à une entreprise avec des rôles différents au sein de l’entreprise et des activités plus externalisées. »

Les courtiers d’accès initial sont également très demandés. Après avoir observé les activités du dark web et des forums pendant plus d’un an, les chercheurs affirment que le prix de l’accès aux réseaux compromis a augmenté. Certaines offres sont désormais 25 à 115% plus élevées que précédemment enregistrées, notamment lorsque le niveau administrateur de domaine a été accédé.

Ces intrus peuvent s’attendre à obtenir entre 10 et 30 % de la rançon. Il convient toutefois de noter que certains de ces courtiers ne fonctionnent pas du tout avec les ransomwares et ne se livreront qu’à des attaques ciblant d’autres cibles, telles que celles qui conduisent à la collecte de données de carte de crédit.

« Au cours des dernières années, les groupes de ransomwares ont évolué pour devenir des sociétés de cybercriminalité avec des membres ou des « employés » spécialisés dans différentes parties des attaques et différents services d’assistance », a commenté KELA. « La récente interdiction des ransomwares sur deux grands forums russophones ne semble pas affecter cet écosystème, car seule la publicité des programmes d’affiliation a été interdite sur les forums. »

LIEN