Close
  • Français
  • English

Ransomware : l’année 2021 a commencé dans la douleur

En l’espace de trois mois, le nombre de cyberattaques de ransomware connues, à travers le monde, représente déjà le tiers de celui de 2020. La menace Emotet, éliminée par les forces de l’ordre en début d’année, a déjà trouvé sa relève. Et si les rançongiciels NetWalker et Egregor ont disparu des écrans, d’autres ont récupéré leurs recrues et redoublé d’agressivité.

En 2020, au prix d’une revue de presse et d’une surveillance des sites Web cachés où les cybercriminels exhibent leurs victimes comme des trophées, LeMagIT avait compté près de 1630 cyberattaques de ransomware à travers le monde. Pour le premier trimestre 2021, nous en comptons déjà près de 615.

L’explosion de la menace avait surtout été marquée en septembre et novembre derniers, notamment sous l’effet de l’agressivité des opérateurs des rançongiciels Conti et Egregor. Pour chacun de ces deux mois, nous avons identifié environ 300 victimes. En novembre et décembre derniers, la menace était légèrement, très légèrement retombée, autour de 230 victimes. En février et mars 2021, elle s’est située à un niveau comparable. Et c’est de l’ordre de deux fois plus qu’en août ou juillet 2020. S’ils continuent sur cette lancée, les assaillants semblent bien partis pour établir un nouveau et sinistre record.

Les données de la plateforme cybermalveillance.gouv.fr ne sont guère plus encourageantes : elle a reçu 228 demandes d’assistances en janvier, puis 288 en février, et 235 en mars. La barre des 200 demandes par mois avait été franchie en novembre dernier. Depuis le niveau de sollicitation de la plateforme se maintient donc à ce niveau, bien plus élevé qu’en octobre ou septembre 2020. Une certaine rançon du succès…

Des attaques en profondeur

De leur côté, les attaquants ne manquent pas d’investir pour amplifier les dégâts qu’ils causent et renforcer les moyens de pression sur leurs victimes. Nous avons observé à plusieurs reprises des attaques touchant les systèmes de sauvegarde : des victimes de Babuk, Conti ou encore Revil. La faute, en général, à une adhérence au domaine Active Directory trop prononcée. Autrement dit : après avoir mis la main sur un contrôleur de domaine, l’attaquant pouvait accéder aux systèmes de sauvegarde et les saboter.

Mais ce n’est pas tout. Un nombre croissant d’assaillants s’en prennent délibérément aux environnements virtualisés. C’est le cas des opérateurs des rançongiciels Darkside et RansomExx, depuis plusieurs mois. Mais fin janvier, les créateurs de Babul ont annoncé un module pour systèmes Unix/Linux conçu notamment pour les hôtes VMware ESXi et les systèmes de stockage en réseau (NAS). Du côté de Conti, pour l’heure, l’approche semble se concentrer sur les serveurs vCenter.

Mais attention, alertait tout récemment Fabian Wosar, d’Emsisoft : l’outil de déchiffrement de Babuk pour les systèmes Linux et les hôtes ESXi… ne fonctionne pas vraiment. Ou plutôt, il n’est pas sûr, car, parfois, des fichiers apparemment chiffrés ne le sont en réalité pas. L’outil de déchiffrement détruit ces fichiers.

Avec des moyens de pression renforcés

Parallèlement, les opérateurs de ransomware semblent considérer que la menace de divulgation ou vente de données dérobées à leurs victimes ne subit plus à convaincre un nombre suffisant d’entre elles. Selon nos observations des activités de plusieurs groupes, de l’ordre de 28 % des victimes cèdent au chantage.

Plusieurs acteurs ont commencé l’an dernier à appeler leurs victimes ou leurs partenaires et clients. Mais Revil l’a formalisé au mois de mars, annonçant clairement proposer désormais des services de centre d’appel pour renforcer la pression sur les organisations touchées par son rançongiciel Sodinokibi.

Et le recours au déni de service distribué (DDoS) semble appelé à se multiplier. Les opérateurs de SunCrypt l’avaient inauguré l’an dernier. Revil indique le proposer à son tour, sur les couches réseau 3 et 7, après l’avoir testé contre Acer et Honeywell. Même nouveauté du côté d’Avaddon qui le propose gratuitement depuis le 8 avril – aux côtés d’un service d’appels téléphoniques. Darkside propose de son côté le DDoS sur les couches 3 et 7, contre les victimes de ses affiliés, depuis le 14 avril.

Une lutte judiciaire aux effets encore limités

Le premier trimestre a également été marqué par des opérations contre les cybercriminels. Fin janvier, Europol annonçait ainsi avoir porté un coup majeur à Emotet. De fait, depuis lors, aucun spam malveillant portant sa signature n’a été observé. Mais la relève est là, notamment avec IcedID et Qakbot.

Fin janvier encore, le FBI annonçait l’arrestation d’un affilié canadien des opérateurs du rançongiciel NetWalker, assorti de la saisie de leur serveur Web caché, en Bulgarie. Quelques semaines plus tard, les forces de l’ordre ukrainiennes et françaises menaient une vaste opération contre des cyberdélinquants impliqués dans des opérations liées au ransomware Egregor.

Malheureusement, ces deux dernières opérations ne semblent avoir frappé que la tête d’organisations très protéiformes : les acteurs les plus dangereux, à savoir ceux qui lancent véritablement les attaques et déploient le ransomware contre la promesse d’une part de la rançon éventuellement obtenue, courent pour l’essentiel toujours. Et ils ne manquent pas d’alternatives à Egregor et NetWalker. Et l’intensité de l’activité cybercriminelle en février et mars, voire début avril, tend à confirmer des reports.

Retrouvez la suite de cet article en cliquant ici !