zephyr_p - stock.adobe.com
Ransomwares : des perspectives bien sombres
Le premier semestre aura tenu ses promesses : la menace des rançongiciels s’est faite plus prégnante que jamais. Et cela ne semble pas près de s’arrêter. La seconde moitié de l’année commence en fanfare.
Sur le podium de la star des menaces informatique, le ransomware semble bien parti pour voler la vedette à celle de l’an dernier… le rançongiciel. Mais ce ne serait qu’une demi-surprise : de nombreux experts anticipaient, fin 2019, une aggravation de la situation sur ce front pour cette année. Et le premier semestre leur a donné plus que raison.
La liste des victimes revendiquées et/ou avérées est longue, très longue : FARO Technologies, Honda et Enel, Bolloré Transport & Logistics, BlueScope Steel, Elexon, EDP, Cognizant, le brasseur Lion, Porcher Industries, Roger Martin, l’Afpa, DMC, Essilor, ISS World, Bouygues Construction, Bretagne Télécom. Tout récemment, Mitsubishi HiTec Paper Europe aurait été touché par DoppelPaymer, tandis que les cyberdélinquants cachés derrière Maze revendiquent la compromission de LG et de Xerox. Et c’est sans compter avec toutes les victimes dont le nom n’est jamais rendu public – qu’elles aient cédé au chantage ou pas.
Car tous les cybertruands ne jouent pas la carte médiatique. Ceux qui pilotent Ryuk, par exemple, n’étalent pas les noms des entreprises qui leur résistent. Peut-être afin d’éviter que cela ne se retourne contre eux et que d’autres prennent ces victimes en exemple à suivre, plutôt que le contraire… Et justement, début mai dernier, Coveware estimait que Ryuk se positionnait en haut de la chaîne alimentaire du rançongiciel. Rebelote deux mois plus tard, mais cette fois-ci selon les constats des équipes Talos de Cisco.
Mais certaines évolutions du paysage de la menace laissent entrevoir des perspectives préoccupantes pour la seconde moitié de l’année. Cela commence par un nouveau ransomware, surnommé WastedLocker, et attribué au groupe de cyberdélinquants appelé Evil Corp, celui-là même considéré comme à l’origine de Dridex. Il serait utilisé depuis le mois de mai. À cela s’ajoute le ransomware Tycoon, utilisé notamment pour viser les secteurs de l’éducation et de l’édition de logiciels, selon BlackBerry Cylance. Et que dire de PinyFinal, qui vise les serveurs d’entreprise, de ProLock qui s’appuie sur le cheval de Troie QakBot et aurait frappé Diebold Nixdorf au mois de mai, ou encore LockBit, détaillé fin avril par McAfee.
Et puis les opérateurs de rançongiciel font évoluer leurs outils. Revil, aux manettes de Sodinokibi, recherche désormais les terminaux de point de vente (PoS) connecté, selon Symantec. Et commence à vendre aux enchères les données dérobées à ses victimes. Ragnar Locker se cache à l’intérieur d’une machine virtuelle pour échapper à la détection, a récemment indiqué Sophos. Et attention également à ces ransomwares distribués directement comme première charge malicieuse : Avaddon, Buran, Darkgate, Philadelphia, Mr.Robot ou encore Ranion, comme l’indiquait tout récemment Proofpoint.