Des cybergangs comme LockBit ont commencé à introduire des méthodes d'extorsion supplémentaires telles que les attaques DDoS pour forcer leurs victimes à payer des rançons. (crédit : TheDigitalArtist / Pixabay)
Le déclin des grands groupes de rançongiciels comme Conti et REvil a donné naissance à des cybergangs plus petits constituant un défi en matière de renseignements sur les menaces.
L'écosystème des ransomwares a fortement évolué en 2022, avec des cyberattaquants passés de grands groupes dominant le paysage à des activités à la demande (RaaS) plus petites et flexibles attirant moins l'attention des forces de l'ordre. Cette démocratisation des rançongiciels est une mauvaise nouvelle pour les organisations, car elle a également entraîné une diversification des tactiques, techniques et procédures (TTP), davantage d'indicateurs de compromission (IOC) à suivre, et potentiellement plus d'obstacles à franchir en cas de négociation ou de paiement des rançons. « Nous pouvons probablement dater l'accélération des changements au moins à mi-2021 avec l'attaque du rançongiciel Darkside sur Colonial Pipeline précédant le retrait de REvil et l'intervention des force de l'ordre ayant conduit à la dispersion de plusieurs partenariats entre acteurs de rançongiciels », ont déclaré des chercheurs de Talos de Cisco dans leur rapport annuel. « Le secteur semble plus dynamique que jamais avec différents groupes s'adaptant aux efforts accrus des forces de l'ordre et du privé, des luttes intestines et des menaces internes, et à un marché concurrentiel où les développeurs et les opérateurs malveillants changent continuellement d'affiliation à la recherche de l'activité de rançonnage la plus lucrative ».
Depuis 2019, le paysage des ransomwares est dominé par de grandes campagnes professionnalisées qui font constamment la une des journaux et recherchent même l'attention des médias pour gagner en légitimité auprès des victimes potentielles. Les groupes disposent même de porte-paroles proposant des interviews à des journalistes ou publier sur Twitter et leurs sites web des communiqués sur leurs fuites de données en réponse à de grandes violations de systèmes. L'attaque DarkSide contre Colonial Pipeline qui a entraîné une interruption majeure de l'approvisionnement en carburant le long de la côte est des États-Unis en 2021 a mis en évidence le risque que les attaques de ransomware peuvent avoir contre les infrastructures critiques et conduit à des efforts accrus pour combattre cette menace aux plus hauts niveaux du gouvernement.
Lire la suite sur Le Monde Informatique
Suivez-nous