Attaques par ransomware : voici comment les cybercriminels propagent leurs menaces

0

Le ransomware est depuis des années le roi des cybercriminels. Voici pourquoi, les chercheurs Proofpoint centrent aujourd’hui leur attention sur ce tope d’attaque et cherchent des nouvelles informations sur la façon dont les cybercriminels propagent leurs menaces par ransomware.

Si les attaques par ransomware sont toujours initiées par l’email, son mode d’exécution est plus complexe qu’il n’y paraît : aujourd’hui, ce type de cyberattaque passe d’une menace directe par email à une menace indirecte où l’email n’est qu’un maillon de la chaîne d’attaque.

Les opérateurs de ransomware s’appuient désormais sur des entreprises cybercriminelles – principalement des distributeurs de chevaux de Troie bancaires – pour le déploiement de logiciels malveillants. Ces facilitateurs d’accès distribuent leurs portes dérobées via des liens et des pièces jointes malveillants envoyés par email. Considérés comme opportunistes, les groupes de cybercriminels qui distribuent déjà des logiciels malveillants bancaires ou d’autres chevaux de Troie peuvent également faire partie d’un réseau affilié de ransomware.

De cette nouvelle façon de procéder résulte un écosystème criminel solide et lucratif au sein duquel différents individus et organisations se spécialisent de plus en plus, leur permettant ainsi de réaliser des profits plus importants, au détriment, bien sûr, des victimes.

Pour garantir le succès de leurs attaques, ils utilisent des logiciels malveillants de premier niveau tels que The Trick, Dridex ou Buer Loader et vendent ensuite leurs accès aux opérateurs de ransomware pour déployer des opérations de vol et de chiffrement des données. Selon Proofpoint, les chevaux de Troie bancaires représentaient près de 20 % des logiciels malveillants observés dans les campagnes identifiées au premier semestre 2021 et constituent le type de logiciel malveillant le plus populaire. 

Proofpoint a également observé des preuves de ransomware déployés via SocGholish utilisant de fausses mises à jour et des redirections de sites Web pour infecter les utilisateurs, et via le système de distribution de trafic (TDS) Keitaro et les kits d’exploitation de suivi que les opérateurs utilisent pour échapper à la détection.

Les chercheurs suivent actuellement au moins 10 acteurs de la menace agissant en tant que facilitateurs d’accès ou affiliés probables de ransomware. Selon eux, les ransomware sont rarement distribués directement par e-mail. 

S’il n’y a pas de relation individuelle établie entre les chargeurs de logiciels malveillants et les attaques de ransomware, plusieurs acteurs de la menace utilisent les mêmes charges utiles de logiciels malveillants pour la distribution de ransomware.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply