Les tendances des rançongiciels

Selon Kaspersky, les groupes de rançongiciels adaptent de plus en plus leur code aux langages de programmation multiplateformes tels que Rust ou Golang afin que leurs logiciels malveillants puissent se propager aux systèmes exécutant des systèmes d’exploitation autres que Windows.

Source : guruXOOX / Getty

 

L’observation vient d’un rapport sur les dernières tendances des rançongiciels des chercheurs de Kaspersky à la veille de la troisième journée annuelle anti-rançongiciel, qui a lieu cette année le jeudi 12 mai.

L’écriture de logiciels malveillants dans un langage multiplateforme facilite leur portage sur d’autres plates-formes telles que Linux, iOS et Android, note le rapport. Une autre raison est que l’analyse des binaires multiplateformes est un peu plus difficile que celle des logiciels malveillants écrits en C.

Parmi les groupes qui adoptent cette tactique on retrouve Conti, BlackCat et Deadbolt.

Le rapport note deux autres tendances :

Tout d’abord, l’écosystème des rançongiciels devient de plus en plus « industrialisé ».

« Tout comme les éditeurs de logiciels légitimes, les groupes cybercriminels développent continuellement leur boîte à outils pour eux-mêmes et leurs clients – par exemple, pour rendre le processus d’exfiltration de données plus rapide et plus facile », déclarent les chercheurs.

Par exemple, à ses débuts, le gang Lockbit n’avait pas de portail de fuite, ne faisait pas de double extorsion et n’exfiltrait pas les données avant leur cryptage. Cela a changé avec le temps. Comme d’autres familles de rançongiciels, note le rapport, l’infrastructure de Lockbit a subi plusieurs attaques, notamment le piratage des panneaux d’administration de Lockbit et des attaques DDoS pour forcer le groupe à arrêter son activité, ce qui l’a obligé à mettre en œuvre certaines contre-mesures pour protéger ses actifs.

Deuxièmement, les gangs de rançongiciels prennent parti dans les conflits géopolitiques.
Par exemple, le 25 février, Conti a déclaré qu’il riposterait avec toutes ses capacités contre toute infrastructure critique « ennemie » si la Russie devenait la cible de cyberattaques. CoomingProject, un groupe d’extorsion, et Stormous (dont le code est écrit en PHP), soutiennent également ouvertement la Russie.

Kaspersky propose ce conseil aux chefs de la sécurité informatique et aux responsables informatiques :

  • Toujours maintenir les logiciels à jour sur tous les appareils pour empêcher les attaquants d’infiltrer les réseaux informatiques en exploitant les vulnérabilités.
  • Concentrer la stratégie de défense sur la détection des mouvements latéraux et de l’exfiltration de données vers Internet.
  • Porter une attention particulière au trafic sortant pour détecter les connexions des cybercriminels.
  • Configurer des sauvegardes hors ligne que les intrus ne peuvent pas altérer. Assurez-vous que les intervenants peuvent y accéder rapidement au besoin en cas d’urgence.
  • Activer la protection contre les rançongiciels et EDR pour tous les endpoints ;
  • Fournir à votre équipe du centre des opérations de sécurité (SOC) un accès aux dernières informations sur les menaces et s’assurer de garde leurs connaissances à jour par de la formation continue.

Pour plus de détails, l’article original (en anglais) est disponible sur le site d’IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Un nouveau variant du rançongiciel Conti

Payer la rançon ne garantit pas de récupérer ses données

Des attaques par rançongiciel plus ciblées en 2022

Traduction et adaptation française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Un gang de rançongiciels offre un décrypteur à l’hôpital SickKids de Toronto

Dans des excuses du Nouvel An, le gang de rançongiciels LockBit a exprimé ses regrets d'avoir attaqué l'hôpital pour enfants malades (SickKids) de Toronto et a envoyé un décrypteur gratuit afin que les fichiers puissent être déchiffrés.

Un hôpital pour enfants de Toronto confirme avoir été frappé par un rançongiciel

Dans une déclaration en ligne aujourd'hui, l'hôpital a déclaré qu'il prévoyait qu'il ne faudrait que quelques semaines avant que tous les systèmes fonctionnent normalement. Il n'y a aucune preuve à ce jour que les renseignements personnels généraux ou sur la santé aient été touchés.

Un cyberincident pourrait coûter 25 millions de dollars à la chaîne de supermarchés Empire

La chaîne de supermarchés canadienne Empire Co. pourrait devoir essuyer une perte de 25 millions de dollars canadiens pour des coûts non couverts par la cyberassurance suite à la cyberattaque qu'elle a subie le mois dernier.

Aliments Maple Leaf confirme avoir été victime d’un rançongiciel et ne paiera pas la rançon

Le gang de rançongiciels Black Basta répertorie désormais le transformateur de viande canadien Aliments Maple Leaf parmi ses victimes. Ce n'est pas clair, mais cela pourrait être lié au cyberincident que la société a reconnu plus tôt ce mois-ci.