Au cours des dernières années, les méthodes utilisées par les cybercriminels pour propager des ransomwares ont profondément changé. S’ils diffusaient auparavant des fichiers cryptés à grande échelle, leurs attaques par ransomware sont aujourd'hui beaucoup plus ciblées.En effet, les hackers examinent la cible en détail et effectuent des recherches sur chacune d'entre elles afin de trouver des leviers supplémentaires leur permettant de renforcer leurs attaques. Ces gangs de ransomware notoires, dont Kaspersky a d’ailleurs dressé le « top 5 des plus actifs » avec en tête Maze, se comportent comme un fournisseur de services en ligne, utilisant des techniques de marketing traditionnelles. Les experts de Kaspersky ont identifié cinq cas illustrant parfaitement cette transformation, en prenant en exemple le gang de ransomware DarkSide.
DarkSide établit activement le contact avec la presse. Sur leur site Internet, un espace presse similaire à celui d’une entreprise a été mis en place pour permettre aux journalistes de poser des questions, recevoir directement des informations et s'informer à l'avance des prochaines publications relatives aux informations volées. Ainsi, les opérateurs de DarkSide s'efforcent d'obtenir le plus d’écho possible au sein des différents réseaux de communication.
- Les groupes de ransomware collaborent avec des entreprises spécialisées dans le décryptage. Cela peut paraître évident puisqu’il est interdit pour les entreprises publiques d'entamer des négociations avec les cybercriminels, mais cette collaboration a créé une véritable demande pour de tels intermédiaires, qui fournissent un service légitime de décryptage des données.
​ - DarkSide affirme reverser une partie de ses revenus à des œuvres caritatives. Ainsi, ils montrent à ceux qui ne veulent pas financer le crime qu'une partie de leur argent ira à une bonne cause. Cependant, certaines organisations caritatives n'ont pas le droit d'accepter de l'argent illicite, et ces versements peuvent donc être gelés.
- Désormais, les cybercriminels analysent soigneusement les données volées, mais aussi le marché. Avant de publier des informations, ils étudient les contacts de l'entreprise et identifient les clients, partenaires et concurrents connus. Selon les experts de Kaspersky, cette méthode a pour but de maximiser les dommages causés par les cibles, d'intimider les victimes et d'augmenter ainsi les chances d'obtenir une rançon.
- Le gang de ransomware Darkside a dorénavant sa propre charte éthique, comme une entreprise « traditionnelle ». Ils affirment ne jamais attaquer les entreprises médicales, les services funéraires, les établissements d'enseignement, les organisations à but non lucratif ou les entreprises gouvernementales.
« Nous avons assisté à une transformation massive dans la façon dont les gangs de ransomware se comportent. La seule raison de ce changement est l'immense profit qu'ils ont accumulé. Aujourd'hui, les cybercriminels disposent de plus de fonds que jamais, qu'ils peuvent investir dans l'analyse du marché, et dans la collaboration avec des partenaires, des journalistes et des organisations caritatives. Pour les vaincre, nous devons couper leurs flux financiers, et donc cesser de payer les rançons », commente Roman Dedenok, expert en sécurité chez Kaspersky.
Afin de protéger les données des entreprises contre les attaques de ransomware, Kaspersky recommande :
- D'installer uniquement des applications obtenues de sources fiables à partir de sites officiels.
- De toujours disposer de copies récentes des fichiers en backup, afin de pouvoir les remplacer en cas de perte (due à un logiciel malveillant ou à un appareil endommagé par exemple). Il est également important de les stocker, non seulement sur un support physique, mais aussi dans le cloud pour plus de fiabilité, et de pouvoir y accéder rapidement en cas d'urgence.
- D’accorder plus d'attention à la culture numérique de l'entreprise. Par exemple, en introduisant une formation de sensibilisation à la cybersécurité pour les employés.
- D’installer toutes les mises à jour de sécurité dès qu'elles sont disponibles. La mise à jour régulière du système d'exploitation et des logiciels permet d’éliminer les vulnérabilités récentes.
- D’effectuer un audit de cybersécurité des réseaux et remédier à toute faille découverte dans le périmètre ou à l'intérieur du réseau.
- D’activer la protection contre les ransomwares pour tous les terminaux. Il existe un outil gratuit Kaspersky Anti-Ransomware Tool for Business qui protège les ordinateurs et les serveurs contre les ransomwares et autres types de logiciels malveillants. Cet outil empêche également les exploits de sécurité et est compatible avec les solutions de sécurité déjà installées.
- De garder en tête que les ransomwares constituent une infraction pénale. Une victime ne doit jamais payer la rançon. Cela ne garantira pas la récupération des données, mais encouragera les criminels à poursuivre leurs activités. Les entreprises victimes peuvent signaler l'incident à la police et également trouver un décrypteur sur Internet.
Source : Kaspersky
Et vous ?
Que pensez-vous de cette étude ? Quel est votre avis sur la recommandation de Kaspersky de ne pas payer les rançons ?Voir aussi :
Apple est la cible d'une attaque par ransomware de 50 millions de dollars de la part d'un groupe de pirates russes, qui affirme avoir piraté et volé des plans de nouveaux produits Le trojan bancaire IcedID entre directement à la 2e place dans le classement Check Point Research sur les malwares de mars 2021, après avoir exploité la pandémie de la COVID-19 Le nouveau Target Temptation Engine vise à prédire où les attaquants vont frapper, et permet aux équipes de sécurité d'identifier les attaques prioritaires Les attaques par ransomware et les menaces contre les dispositifs IoT explosent en 2020, augmentant de 485 % par rapport à 2019, selon le rapport Consumer Threat Landscape de Bitdefender 
