Historique et évolutions des attaques de Ransomware de 2014 à 2021

Dernièrement, les médias se sont fait l'écho des attaques de ransomwares (raçongiciels) touchant des hôpitaux français.
Les attaques de ransomwares ne sont pas nouvelles et très anciennes même si depuis 2015 les cybercriminels ont abandonné massivement les Trojan Winlock pour se tourner vers ce type de logiciel malveillant.
Depuis les familles s'enchaînent et ce type de malwares est en augmentation.

Initialement, ils s’attaquaient au grand public mais depuis quelques années, il est beaucoup plus lucratif de s'attaquer aux entreprises, services étatiques, officines de santé, collectivités locales.
Ainsi le taux de progression des attaques de rançongiciels progresse chaque année.

Voici un article qui résume les évolutions et attaques des crypto-ransomwares et pourquoi et comment les cybercriminels se sont mis à viser les entreprises et organisations publiques.
Enfin vous trouverez dans cet article un historique et évolutions des rançongiciels.

Historiques et évolutions des attaques de Ransomware

Qu'est-ce qu'un ransomware ?

C'est un logiciel malveillant qui chiffre vos données et demande de payer une somme d'argent pour retrouver l'accès.
C'est donc une méthode d’extorsion sous la forme de prise en otage des données numériques.
En général cela se présente de la manière suivant :

  • Les fichiers changent d'extension
  • Un fichier notice est déposé à divers emplacements du système. Ce dernier explique qu'il y a une une attaque par un rançongiciel et donne les instructions pour le paiement. Parfois le fond d'écran peut être modifié à cet effet.
Page d'instructions de paiements du ransomware Locky

A noter que les les Trojan Winlock mentionnés dans l'introduction sont aussi une forme de ransomware mais ils ne chiffraient pas les données.
Ici on peut parler de crypto-ransomware (ransomware chiffreur) qui utilise des algorithmes de chiffrements (RSA, AES, ...) pour verrouiller accès aux données. On peut donc aussi les qualifier de crypto-locker.
Les Trojan Winlock, à la différence verrouillent l'accès au système.
Mais on peut tout à fait avoir un mixte des deux. C'est à dire chiffrer les données mais aussi empêcher l'accès au système d'exploitation.

Les ransomwares ne seront pas détaillés plus que cela, car il existe déjà un article complet sur le site :

Historiques et évolutions des attaques de Ransomware

Avant 2015

Les ransomwares chiffreurs existent depuis longtemps, les premières versions sont publiées autour de 1989.
Toutefois très peu de variantes ou familles sont sorties et surtout utilisées massivement.
En France, autour de 2010, ce sont plutôt les menaces comme les Trojan Winlock, Adware/PUP, Rootkit, Trojan Banker qui étaient en vogue.
Le plus connu est alors GPCode sorti autour de 2005.
Ainsi en 2011, j'avais publié un article sur ce dernier l'ayant croisé : Retour de GPCode ?

Toutefois cela commence à frémir en 2013 mais surtout en 2014.
CryptoLocker était alors l'une des souches de ransomware les plus rentables de son époque. Entre septembre et décembre 2013, CryptoLocker a infecté plus de 250 000 systèmes. Il a rapporté plus de 3 millions de dollars à ses créateurs avant que le botnet Gameover ZeuS, utilisé pour mener les attaques, ne soit mis hors ligne en 2014 dans le cadre d'une opération internationale.

On voit aussi arriver d'autres crypto-ransomware comme CryptoWall (2013), CTB-Locker/Citroni, Scatter, Cryakl et TorrentLocker.
Cette année voit plus d'apparitions de crypto-ransomware à elle seule que toutes les années précédentes réunies.

Voici la répartition des familles de rançongiciels entre 2014 et 2015.
D'avril 2014 au début de 2016, CryptoWall faisait partie des variétés de ransomwares les plus couramment utilisées, avec diverses formes de ransomwares ciblant des centaines de milliers d'individus et d'entreprises. À la mi-2015, CryptoWall avait extorqué plus de 18 millions de dollars aux victimes, incitant le FBI à publier un avis sur la menace.
CryptoWall est le plus actif mais vise principalement les USA.
En France, il est passé relativement inaperçu.

Répartition des familles de ransomwares entre 2014 et 2015
source Kaspersky

2015

Décembre 2015, le rançongiciel TeslaCrypt fait son apparition (La version d'avant est AlphaCrypt).
Jusque là les malvertising disposaient sur les sites de streaming illégaux, pornographiques renvoyaient vers les logiciels malveillants mentionnés précédemment.
A partir de cette date, les attaques Drive by Download vont pousser des rançongiciels.
Mais cela ne s'arrête pas là puisque la diffusion se fera aussi par mail à travers des pièces jointes malveillantes utilisant des scripts JS ou VBS.
C'est le retour des mails malveillants massifs comme en 2004, du temps des vers comme Blaster, MyDoom.

Les mails malveillants et de phishing poussant le ransomware TeslaCrypt

Ils visent principalement le grand public et va toucher des milliers d'internautes chaque jour.
A l'époque, les demandes d'aide sur les forums explosent :

Les demandes d'aide pour supprimer le ransomware TeslaCrypt

Voici la répartition des familles de raçongiciels entre 2015 et 2016.
Teslacrypt est de loin le plus actif avec CTB-Locker derrière.

source Kaspersky

Toujours en 2015, un groupe connu sous le nom de Armada Collective a mené une série d'attaques contre des banques grecques.
«En ciblant ces trois institutions financières grecques et en chiffrant des fichiers importants, ils espèrent convaincre les banques de payer la somme de 7 millions d'euros chacune.
Il va sans dire que le fait de pouvoir lancer trois types d'attaques différents en cinq jours est assez inquiétant pour la sécurité des banques », a rapporté Digital Money Times.
Les attaquants ont demandé une rançon de 20000 bitcoins (7 millions d'euros) à chaque banque, mais au lieu de la payer, les banques ont renforcé leurs défenses et évité de nouvelles perturbations de service, malgré les tentatives ultérieures de l'Armada.

Le système hospitalier de Los Angeles, le Hollywood Presbyterian Medical Center (HPMC) est aussi la cible de rançongiciel.
Les responsables auraient exigé une rançon de 3,4 millions de dollars. L’attaque a forcé l’hôpital à revenir dans l’ère pré-informatique, bloquant l’accès au réseau de l’entreprise, aux e-mails et aux données cruciales des patients pendant dix jours.

2016

Les nouvelles familles commencent à arriver mais Locky, CryptXXX - Ransomware RSA-4096 .crypt, Locky Ransomware, Ransomware Cerber, ...

TeslaCrypt reste prédominant par rapport aux autres.
Tant que ce ransomware restera diffusé par des mails malveillants, il sera le plus actif.
La bascule se fait lorsque les autres familles dont Locky va utiliser massivement ce même mode de propagation.

Les attaques par familles de crypto-ransomware en 2016

Le ransomware Locky devient alors très actif de 2016 à 2017.
Il va utiliser le même mécanisme de mail avec des pièces jointes JS et VBS mais aussi des pièces jointes Office.
En effet, c'est à partir de cette date que l'on émergé les pièces jointes malveillants Word et Excel utilisant des macros : Les virus par Word et Excel (documents Office) : comment s’en protéger
C'était déjà le cas avec le Trojan Banker Dridex qui utilisait ce même mécanisme.

Mails malveillants pour pousser le ransomware Locky

Les campagnes de mail malveillant s'appuyait sur le botnet Netcurs et permettaient l'envoie de dizaine de mal malveillant par jour aux cibles.
Soit des millions par jour.
Par exemple, le 23 Novembre au matin, netcurs a permi de diffuser un ransomware connu sous le nom de Scarab.
En six heures, plus de 12,5 millions de mails ont été envoyés.
ecurs compte entre cinq et six millions d’hôtes et est régulièrement utilisé pour distribuer des malware comme le cheval de troie Dridex, le rançongiciel Locky et les logiciels de « pump & dump » utilisés pour gonfler la valeur des actions.

L'Europe et la France notamment avait été particulièrement ciblés par ces campagnes d'attaques Locky par mail.

La France ciblée par les attaques du ransomware Locky

Or il commence à viser les entreprises et notamment les services de compta à travers de faux mails de factures, de mails notifications de scanner, etc.
Beaucoup de campagnes des mails vérolés utilisées par Locky sont présentes en exemple sur le forum du site : Email malicieux - Ransomware Locky
Les PME ou les réseaux internes des mairies sont assez touchées par ce rançongiciel.
Aux USA, le Kentucky Methodist Hospital, le Chino Valley Medical Center et le Desert Valley Hospital en Californie ont été touchés par ce ransomware.

Mail malveillant du ransomware Locky

2016 marque aussi l'arrivée du ransomware Crysis (aka Dharma) qui sera actif jusqu'en 2019.
Le Ransomware Cerber est aussi assez actif à cette époque et cela jusqu'en 2017.

Les familles de ransomware de 2005 à 2016

Toutefois les attaques visent encore principalement les particuliers même si les entreprises commencent aussi à être visées.

Ainsi, des groupes commencent à se structurer pour cibler les entreprises et organisations.
Par exemple le groupe comme SamSam (actif de 2016 à fin 2018) vise des entités américaines.
Ce groupe attaque plus particulièrement les hôpitaux et établissements de soin, ainsi que des structures publiques locales (mairies, services publics, universités).

En mars 2016, l'Hôpital d'Ottawa a été touché par un ransomware qui a touché plus de 9800 machines. Grâce à des processus de sauvegarde et de récupération diligents, l'hôpital a pu battre les attaquants à leur propre jeu et éviter de payer une rançon.

Le ransomware Mamba ou HDDCryptor (?) touche l'agence de transport de la ville de San Francisco, ce qui a perturbé les systèmes de billetterie de train et de gestion des bus.
Les attaquants ont exigé une énorme rançon de 100 Bitcoins (équivalant à environ 73000 dollars à l'époque), mais grâce à une réponse rapide et à des processus de sauvegarde complets, la SFMTA a pu restaurer ses systèmes en deux jours.

2017

En 2017, les rançongiciels surpassent le cheval de troie banker en terme de prédominance.
Ils deviennent donc la première menace informatique.
Le ransomware BitPaymer, FriedEx et IEncryp fait parler de lui par sa diffusion par de fausses mises à jour Flash comme c'est le cas des PUP.
Il vise aussi des entités américaines.
ESET établit des similitudes entre ce rançongiciel et le code du Trojan Dridex.

Les attaques de Trojan Banker VS Ransomware et autres malwares

C'est d'ailleurs une année où l'on voit aussi exploser le nombre de nouveaux ransomwares avec presque une dizaine d'entrants par mois.
C'est aussi l'année où Petya apparaît avec de nouvelle méthodes de chiffrement.
Voici les actions effectuées le ransomware Petya :

  • Chiffre la table de fichiers - Master File Table (MFT)
  • Modifie le secteur d’amorçage MBR pour afficher la page d'instructions de paiements
  • D'autres composants de Windows

En clair donc, en plus de chiffrer les donnés, le rançongiciel bloque l'accès au système en modifiant le MBR.
A noter que d'autres ransomware font plus ou moins de même.
Par exemple, le ransomware Satana chiffre les fichiers directement sans passer par la MFT et modifie aussi le MBR.
On peut alors parler de MBR Ransomware qui donneront d'autres variantes comme NotPetya, KillDisk.

Le ransomware PETYA

Mais l'année 2017 sera marquée par WannaCry (WanaDecryptor).
Un rançongiciel qui utilise les méthodes de propagation automatisée d'un ver informatique.
Ils exploitent la vulnérabilité EternalBlue (sur SMB).
On estime à environ 300 000 ordinateurs infectés, dans plus de 150 pays principalement en Inde, aux États-Unis et en Russie
Parmi les plus importantes organisations touchées par cette attaque, on retrouve notamment les entreprises Vodafone, FedEx, Renault, Telefónica, le National Health Service, le Centre hospitalier universitaire de Liège, le ministère de l'Intérieur russe ou encore la Deutsche Bahn.

Les familles de ransomwares de 2010 à 2016
https://blog.f-secure.com/ransomware-timeline-2010-2017/

2018

C'est l'année où les cybercriminels commencent à viser de manière significative les entreprises, organisations étatiques et autres.
Cette infographie de Symantec le montre très bien.
Jusqu'à 2017 les attaques de ransomwares ciblant les entreprises sont stables, à partir de 2018, elles cessent d'augmenter.

L'émergence des attaques de ransomwares contre les entreprises

En 2018, le Ransomware Phobos fait son apparition.

C'est aussi les premières apparitions des attaques du ransomware Ryuk qui vise exclusivement les entreprises et des grosses entreprises.
D'ailleurs, en France la société Travel Technologies Interactiv en fait les frais en décembre 2018.
Ce crypto-ransomware partage un code identique avec le ransomware Hermes et ne possède pas de fonctionnalités d’exfiltration de données contrairement à d'autres ransomwares.
Pourtant vous verrez dans la suite de l'article que le vol de données fait est un maillon important des attaques de Ryuk.
Enfin à ce jour, ce ransomware est encore actif.

Mais, c'est le ransomware Grandcrab qui tire le plus son épingle du jeu en devenant la menace la plus importante avec des attaques tout azimut.
Il utilise le mode SaaS, ce qui permet à plusieurs groupes de cybercriminels de gagner de l'argent en distribuant le malware.
En sous-traitent, les concepteurs peuvent se concentrer sur le code et les fonctionnalités et toucher un pourcentage lors des paiements par les victimes.
C'est le début des systèmes d'affiliation dit Ransomware-As-A-Service.

Le ransomware Crysis (aka Dharma) commence aussi à faire beaucoup parler de lui.
Dharma est devenu très vite le centre d'un écosystème criminel basé sur un modèle commercial de «syndication».
Les fournisseurs de Dharma RaaS offrent l'expertise et le support techniques, exploitant les systèmes dorsaux qui prennent en charge les attaques de ransomware.
Les «affiliés» (souvent des cybercriminels débutants) paient pour l'utilisation du RaaS et mènent eux-mêmes les attaques ciblées, à l'aide d'une boîte à outils standard.
D'autres acteurs fournissent des informations d'identification volées et d'autres outils sur des forums criminels qui permettent les attaques du protocole de bureau à distance qui sont le moyen prédominant de compromis initial pour les acteurs du Dharma.

Le ransomware GrandCrab

2019

Les pirates continuent de viser les entreprises et de nouveaux ransomwares apparaissent comme MegaCortex (Ransom.MegaCortex), Maze, RobbinHood (Ransom.Robbinhood), Netwalker et Clop.
Tous vont viser des grandes entreprises, villes ou services de santé.

GoGalocker VS MegaCortex VS RobbinHood VS Ryuk VS SamSam
source : https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/targeted-ransomware-threat
Répartitions des attaques de ransomwares en 2019
Source : https://www.coveware.com/blog/2019/4/15/ransom-amounts-rise-90-in-q1-as-ryuk-ransomware-increases

C'est la fin de GandCrab.
Les auteurs annoncent se retirer après un revenu total pour l’ensemble des affiliés de 2 milliards de dollars.
Le FBI estime qu'il aurait infecté plus de de 500 000 victimes au niveau mondial.
Mais quatre mois plus tard le ransomware Sodinokibi / Revil apparaît, très similaire à ce dernier.

Le groupe de cybercriminel FIN6 à l'origine du ransomware Ryuk lance un autre ransomware LockerGoga.
Toutefois, son activité s'arrête autour de Juin 2019.

Voici un exemple des attaques les plus significatives :

  • Le 24 janvier 2019, la société française de conseil en ingénierie Altran Technologies a été victime d’une attaque parle rançongiciel LockerGoga
  • Compromission de Norsk Hydro en mars 2019 : une société l’industrie de l’aluminium a été forcée d’arrêter une grande partie de son réseau et réaliser sa production après l'attaque du ransomware LockerGoga
  • Le 18 mars 2019, LockerGoga a été utilisé pour chiffrer le réseau de l’entreprise Norsk Hydro spécialisé dans l’alu-minium et les énergies renouvelables.
  • Avril 2019, Fleury Michon visé par un ransomware (Ryuk ?)
  • En mai 2019, le réseau d’une filiale canadienne de Bouygues Construction a été compromis parRyuk, chiffrant ses serveurs Windows
  • Le 11 mars 2019, l’en-treprise Fleury Michon a dû interrompre sa production et positionner 3000 employés en chômage technique
  • Le 7 mai 2019, la ville de Baltimore a été victime d’une attaque par le rançongiciel RobinHood
  • Le 7 mai 2019, la ville de Baltimore a été victime d’une attaque par le rançongiciel RobinHood
  • Août 2019 la compromission de Ramsay Générale de Santé, leader de l’hospitalisation privée sur le territoire par le ransomware Dharma
  • Août 2019 : attaques coordonnées sur 20 villes du Texas par le ransomware Sodinokibi / Revil. Les attaques demandent l’équivalent de 2,5 millions de dollars de rançons
  • Le groupe audiovisuel M6 a été victime du rançongiciel Bitpaymer en octobre 2019
  • Le 15 novembre 2019, le CHU de Rouen a été victime du rançongiciel Clop
  • En décembre 2019, un groupe cybercriminel a annoncé avoir compromis l’entreprise américaine Southwire avec le rançongiciel Maze. Ils ont aussi chiffrés les données de la ville de Pensacola à cette date

En octobre 2020, Ryuk est responsable de 75 % des attaques sur le secteur de la santé, secteur qu’il attaquerait depuis le premier semestre 2019.

En France, l'ANSSI (L'Agence nationale de la sécurité des systèmes d'information) a enregistré 69 incidents cette année par une quinzaine de ransomwares.

Les attaques de rançongiciels visant des entités françaises en 2019
Source ANSSI

Les collectivités territoriales ainsi que le secteur de la santé sont particulièrement visés et touchés par les attaques de ransomwares.

Répartition des cibles des attaques des ransomwares en 2019
Source ANSSI

Pour une liste plus complète des attaques de ransomwares rien qu'aux USA : Ransomware Attacks 2020

2020

C'est l'année où le ransomware Maze est le plus actif mais c'est aussi l'année de son arrêt annoncé au 1er Novembre 2020.
Cela va laisser la place à d'autres acteurs dont Egregor qui va devenir très actif à partir de Septembre 2020.
En 2020, le code source de Dharma est mis en vente sur les forums underground pour 2000$.

Voici les attaques les plus significatives :

  • 30 Janvier 2020 : Maze compromet une partie du réseau de Bouygues Construction
  • Juin 2020 : Le ransomware Maze s'en prend à LG Electronics. 40Go de codes sources sont volés au passage
  • Juin 2020 : Xerox est à son tour touché par le ransomware Xerox et 100Go sont volés au passage
  • 30 Juillet 2020 : Des services de Canon sont mis à mal entraînant notamment la perte de données du Cloud. Le fautif est le ransomware Maze
  • Septembre 2020 : Egregor attaque la société française Gefco
  • 10 Octobre 2020 : Le Géant américain de la librairie Barnes & Noble attaqué par le ransomware Egregor
  • 15 Octobre 2020 : Ubisoft et Crytek touchés par le Ransomware Egregor
  • Novembre 2020 : Ouest-France à son tour attaqué par le ransomware Egregor
  • Décembre 2020 : Egregor s'attaque à l'agence TransLink en charge du réseau de métro de la ville de Vancouver
  • Décembre 2020 : L'agence de recrutement Randstad NV a annoncé aujourd'hui que son réseau avait été brisé par le ransomware Egregor, qui avait volé des fichiers non chiffrés lors de l'attaque
  • Décembre 2020 : La multinationale de vente au détail chilienne Cencosud a été victime d'une cyberattaque de l'opération de ransomware Egregor qui a un impact sur les services dans les magasins.

L'ANSSI est intervenu 192 fois pour des cas de rançongiciels en 2020 soit donc tous les 2 jours. C'est trois fois plus qu'en 2019.
Au parquet de Paris, 436 enquêtes rançongiciel ont été ouvertes en 2020 (148 en 2019).

La santé et les collectivités territoriales et locales restent les cibles principales des attaques de ransomwares.

Répartition des cibles des attaques de ransomware en 2020

2021

Une opération conjointe entre les forces de l'ordre françaises et ukrainiennes a conduit à l'arrestation de plusieurs membres du ransomware Egregor en Ukraine.
L'opération aurait été lancée suite à une enquête ouverte l'automne dernier par le Tribunal de grande instance de Paris après avoir reçu des plaintes concernant le gang de ransomwares.
Ce dernier ayant été particulièrement actif entre Septembre et Décembre 2020 après le coup d'arrêt de Maze.

  • Février 2021 :
    • Ryuk s'attaque au centre hospitalier de Dax est de Villefranche-sur-Saône
    • Les opérateurs du rançongiciel Clop libère environ 100 Go de données volés à Jones Day. Les données comprennent des e-mails et des documents juridiques, dont l'un semble confidentiel. Certaines données datent de janvier 2021, alors que la plupart sont anciennes.
    • Le code source volé de CD Projekt aurait été vendu par un gang de ransomwares
    • Un leader canadien de la location de voitures frappé par le ransomware DarkSide
    • Des villes américaines divulguent des violations de données après l'attaque de ransomware d'un fournisseur
    • Un gang de ransomwares pirate la plus grande banque privée d'Équateur, le ministère des Finances
    • CIS offre désormais une protection gratuite contre les ransomwares à tous les hôpitaux américains
    • Le géant de la certification Underwriters Laboratories (UL) touché par les ransomwares
    • L'Université Lakehead ferme le réseau du campus après une cyberattaque
    • Le géant finlandais des services informatiques TietoEVRY révèle une attaque de ransomware
    • Kia Motors America subit une attaque de ransomware et une rançon de 20 millions de dollars
    • Cyberpunk 2077 patch 1.2 retardé par l'attaque du ransomware CD Projekt
    • Le Conseil néerlandais de la recherche (NWO) confirme une attaque de ransomware et une fuite de données
  • Mars 2021 :
    • CompuCom MSP touché par la cyberattaque du rançongiciel DarkSide
    • L'agence NSW Transport extorquée par un gang de ransomwares après l'attaque d'Accellion
    • Universal Health Services a perdu 67 millions de dollars en raison de l'attaque du ransomware Ryuk
    • Sierra Wireless, l'un des principaux fournisseurs mondiaux de solutions IoT (Internet des objets), a révélé aujourd'hui une attaque de ransomware qui l'a obligé à arrêter la production sur tous les sites de fabrication
    • Le géant de l'assurance CNA a subi une attaque de ransomware utilisant une nouvelle variante appelée Phoenix CryptoLocker qui est peut-être liée au groupe de piratage Evil Corp
  • Mai 2021 :
    • Un ransomware déclenche un état d’urgence aux USA - L'interruption des activités d'un opérateur de pipelines touché par un ransomware a entraîné des mesures exceptionnelles dans 18 États.
    • Le géant alimentaire JBS Foods arrête sa production après une cyberattaque publié un communiqué de presse le 31 mai confirmant que l'attaque avait eu un impact sur les systèmes informatiques australiens et nord-américains de l'entreprise
  • Juillet 2021 :
    • Le ransomware REvil a fixé un prix pour le décryptage de tous les systèmes verrouillés lors de l'attaque de la chaîne d'approvisionnement Kaseya. Le gang veut 70 millions de dollars en Bitcoin pour l'outil qui permet à toutes les entreprises concernées de récupérer leurs fichiers
    • Kaseya affirme que l'attaque du ransomware REvil a violé les systèmes d'environ 60 de ses clients directs à l'aide du produit sur site VSA de l'entreprise. L'attaque a eu un impact limité, avec seulement environ 50 des plus de 35 000 clients Kaseya ayant été violés
  • Aout 2021 :
    • Vendredi 17 Aout, le ministère brésilien de l'Économie a divulgué une attaque de ransomware qui a frappé certains des systèmes informatiques du Trésor national
    • La Holdings Tokio Marine, une société holding multinationale d'assurance au Japon, a annoncé cette semaine que sa succursale de Singapour, Tokio Marine Insurance Singapore (TMiS), a subi une attaque de ransomware.

En février 2021, le ransomware Ryuk se propage désormais automatiquement sur d'autres appareils Windows LAN.
Une fois lancé, il se répandra ainsi sur toutes les machines joignables sur lesquelles des accès Windows RPC sont possibles."

A partir de Mars 2021, les serveurs exchange sont touchés par des attaques ProxyLogon qui permettent de les compromettre.

Pourquoi viser les entreprises, services publics, hopitaux, ... ?

Ainsi, les crypto-ransomwares remplacent donc les ransomwares Locker.
Au départ, Ils ont donc visé à l'aveugle des internautes de part le monde comme c'était le cas avec les prédécesseurs.
Les montants de paiement sont fixés par l'attaquant au début de la campagne et reste fixe. En général, ils s’élèvent à quelques centaines d'euros.
Mais perdre ses données comme des photos de vacances, familles et autres est une mauvaise nouvelle, toutefois, cela ne vaut en général pas le prix demandé.

Un business plus lucratif

Pour une entreprise, serbice de santé ou collectivités locales, c'est une autre histoire car le ransomware peut paralyser la production et son fonctionnement.
Dans un hôpital, cela peut s'avérer dramatique si l'on perd les fiches des malades ou si les applications sont hors services.
Ainsi, les cybercriminels se sont mis à cibler des organisations qui ne peuvent pas se permettre un temps d'arrêt.
Ainsi elles sont à même de payer la rançon.
C'est donc beaucoup plus lucratif et rentables car les données ont une valeur ajoutée plus importantes.

Les cyberdélinquants l'ont bien compris et se sont très vite adaptés.
Par exemple, le montant de la rançon se fait en fonction du volume de données chiffrées.
Si plusieurs Go sont chiffrés par le rançongiciel, ce qui cause des dommages importants, la rançon sera plus élevée.
Maze ne s'est pas gêné pour demander $6 million à la société Southwire ou encore $1 million à la ville de Pensacola.

Les services professionnels, tels que les cabinets d'avocats et les cabinets de CPA, sont très souvent ciblés par les ransomwares.

La répartition des cibles de ransomwares en 2019 :

La répartition des cibles de ransomwares en 2019

Une analyse de Chainalysis indique que les victimes de ransomware a augmenté de 311 % en 2020 pour atteindre l'équivalent de près de 350 millions de dollars en cryptomonnaies.
Ainsi, les revenus sont en hausses.

Source Chainalysis

Selon le FBI, le ransomware Ryuk aurait généré plus de 61 millions de dollars de rançons entre février 2018 et octobre 2019.
Enfin, en 2018, on estimait qu'un groupe de cybercriminels utilisant des ransomwares avait un revenus moyen de 900 000 euros.

Voici un tableau récapitulatif des profits connus ou estimés des groupes de cybercriminels à l'origine d'attaque de rançongiciel.

Profits connus ou estimés des groupes de rançongiciel
source ANSSI

La double extorsion : faire chanter pour forcer le paiement de la rançon

Qui dit verrouillage des données, dit aussi accès à ces derniers.
Ainsi les opérateurs du ransomware Maze ne se gènent pas pour voler des données contenant certainement des secrets industriels.
En outre ces données sont revendues (adresse mail, profession, numéro de sécurité sociale, etc.) mais elles peuvent aussi être réutilisées pour des attaques.
Ensuite ils effectuent du chantage sur du chantage, la double extorsion pour forcer le paiement de la rançon.
Par exemple, dans le cas de l'attaque contre l'entreprise Southwire, les opérateurs du ransomware Maze ont libéré 14 Go supplémentaires de fichiers qui, selon eux, ont été volés à l'une de leurs victimes pour ne pas avoir payé une demande de rançongiciel.

Ce n'est pas un comportement isolé puisque le le groupe Circus Spider derrière le ransomware Netwalker fait de même ainsi que le rançongiciel Clop.

Saboter les sauvegardes pour éviter la reprise des données

Plus de gain dit aussi plus de moyen.
Ainsi avec le temps, les ransomwares mais surtout les attaques se sont sophistiquées pour mettre toutes les chances de leurs côtés pour rançonner.

Certains opérateurs sont très patients avant de lancer le chiffrement des données.
Par exemple, les créateurs du ransomware SamSam attendent et attendent pour surveiller les activités du réseau et / ou des utilisateurs pendant une période plus longue.
Ils analysent où ils ont pénétré le réseau et s'ils peuvent pénétrer encore plus profondément dans les systèmes. Ceci est fait pour causer autant de dégâts que possible et pour rendre les données inaccessibles.
Puis ils passent à l'action et suppriment ou sabotent ensuite silencieusement les sauvegardes pour empêcher une entreprise d'annuler la contamination.

Les intrusions associent des techniques d’attaque avancées à un piratage interactif et manuel afin d’accroître leur taux de réussite.

En d'autres termes, ce sont des attaques ciblées et préparées à l'avance.
Une fois, en place, ils étudient minutieusement le réseau et avance pas à pas afin de cibler les données et faire le plus de dégâts possibles.

Quels sont les principaux vecteurs d'attaques ?

Contre les entreprises, principalement deux vecteurs :

RDP reste la méthode de pénétration privilégiée.
D'après les statistiques fournies par Coveware, les attaques RDP sont à l'origine d'environ 85% des attaques Dharma.

Voici une répartition des vecteurs d'attaques utilisés par les rançongiciels pour s'introduire les réseaux d'entreprises.
Le canal principal est l'attaque RDP suivi par les mails malveillants.

Les vecteurs d'attaques utilisés par les ransomwares pour pénétrer les réseaux des entreprises
source https://www.coveware.com/blog/2019/4/15/ransom-amounts-rise-90-in-q1-as-ryuk-ransomware-increases
Les vecteurs d'attaques utilisés par les ransomwares pour pénétrer les réseaux des entreprises

Les groupes derrières ces attaques produisent en général leurs propres trojan ou peuvent en acheter à d'autres groupes pour mener à bien leurs attaques.
Cela s'inscrit dans un écosystème plus vente d'achat et de reventes de ressources ou sous-traitance pour mener à bien les attaques numériques.

Écosystème des attaques numériques

Par exemple, les attaques Ryuk utilisent, souvent les trojan Emotet ou TrickBot qui se diffusent beaucoup par des mails vérolés.
Voici un schéma d'attaque Ryuk :

  • Mail malveillant, la victime ouvre la pièce jointe qui exécute un trojan downloader pour mettre en place Emotet ou Trickbot
  • Ce dernier vole les identifiants du poste
  • Puis il créé un utilisateur administrateur
  • Ensuite les cybercriminel tentent s'attaquent au réseau avec une reconnaissance Active Directory
  • Ils suppriment les sauvegardes et désactivent les protections
  • Enfin ils mettent en place le ransomware Ryuk et lancent le chiffrement des données
Schéma de l'attaque du ransomware Ryuk
source Sophos

Egregor ransomware suit les mêmes méthodes.
En plus d'être distribué par des attaques RDP, des campagnes de phishing sont aussi utilisés.
Ces derniers poussent des trojan Qakbot, Ursnif ou IcedID.
A partir de là, les opérateurs tentent de s'introduire plus profondément dans le réseau local de la victime.

On pense que les outils SharpHound ou AdFind ont été utilisés pendant la phase de mouvement latéral dans l'annuaire actif (AD). Pour se déplacer sur le réseau, les opérateurs Egregor sont censés utiliser des balises SMB via l'outil Cobalt Strike ou l'accès administrateur. Les charges utiles de Cobalt Strike peuvent être désobscurcies à l'aide de l'outil CyberChef [16]. Les connexions au serveur de commande et de contrôle se font via le protocole HTTPS.

ANSSI
ANSSI

L'ANSSI révèle par exemple l'attaque contre le CHU de Rouen victime du rançongiciel Clop s'est faite par l’ouverture d’un courriel malveillant ayant permis à l’attaquant de déployer des outils de reconnaissance et de pro-pagation manuelle, notamment SDBBot, Metasploit, CobaltStrike ou encore Mimikatz.
Ces actions manuelles lui ont permis de prendre le contrôle du domaine et de déployer dans la nuit de vendredi à samedi le code de chiffrement sur la majorité du parc informatique.

Choix généraux des attaques lors des différentes phases de l'attaque

Conclusion

Voila j'espère avoir retracé la genèse des ransomwares et la mutation vers des cibles beaucoup plus lucratives pour les cybercriminels.
Comment d'attaques massives et aveugles visant les particuliers, des groupes se sont ensuite structurés pour des attaques ciblées et sophistiquées contre des organisations privées et publiques.
Le taux de progression des attaques de rançongiciels augmentent chaque année.

Cela fait des ransomwares, la menace informatique la plus importante pour les entreprises et organisations.
Les revenus générés par ces opérations sont en augmentation chaque année, ainsi, les prédictions sont aussi en augmentation.
En clair, ça ne va pas s'arrêter mais s'accélérer.
Les sabotages peuvent aussi être plus dévastateurs à l'avenir toujours dans un soucis de forcer le paiement de la rançon.

J'essayerai de mettre à jour l'article une fois par an pour suivre les attaques.
Plus bas, vous avez les sources, je vous conseille de jeter un oeil au PDF de l'ANSSI qui est une tuerie =)

Liens

Sources :