concept w - stock.adobe.com
Ransomware : un mois de septembre étrangement calme
Le mois de septembre est apparu particulièrement calme, sur le front des ransomwares, étonnamment. Et cela en France comme dans le monde. Le fait, notamment de revendications très tardives.
En septembre 2024, ransomware.live a compté près de 400 publications sur des sites vitrine d’enseignes de ransomware. Au total, après l’intégration des cas constatés dans la presse internationale et les corrections des dates de survenue d’attaque, nous comptons… 349 cyberattaques et revendications à travers le monde, un chiffre remarquablement bas.
Ce chiffre s’explique notamment par le délai de publication de certaines revendications : le groupe Monti vient par exemple de revendiquer une cyberattaque contre une municipalité américaine effectivement survenue fin juillet. Ces décalages nous ont conduits à revoir à la hausse les comptes de l’été.
Il apparaît donc vraisemblable que nous ayons à revoir les chiffres de septembre au cours des semaines et mois à venir. Pour autant, après un premier semestre apparemment intense, le niveau observable de la menace semble en léger recul par rapport à 2023.
L’équipe de Black Basta n’apparaît pas avoir repris ses activités, mais diverses sources évoquent surtout le choix d’une plus grande discrétion. Si l’écosystème cybercriminel apparaît toujours fortement fragmenté, il commence à donner des signes de stabilisation. De fait, le nombre de re-revendications d’une même victime sur le site vitrine d’une autre enseigne de ransomware – on parle de revendication croisée, ou crossclaim en anglais – a continué de reculer malgré quelques surprises, comme la récente revendication d’une même victime chez RansomHub et Play.
L’acteur qui était anciennement aux commandes de Vice Society semble passé chez INC Ransom, tandis qu’un ancien indépendant de LockBit serait passé chez RansomHub. Et malheureusement pour ses victimes, l’évasive enseigne ThreeAM a commencé à divulguer les données volées lors de ses cyberattaques.
Bonne nouvelle toutefois : l’opération Cronos a débouché, durant l’été, sur 4 nouvelles arrestations liées aux activités de LockBit. Une fuite de données de cybercriminels, survenue durant l’été, pourrait donner lieu à de nouvelles découvertes précieuses pour le travail des forces de l’ordre. Elle suggérerait déjà de possibles liens entre les enseignes Embargo, Brain Cipher, et Meow.
L’Amérique du Nord s’inscrit toujours en tête des cas connus, listés à 191. En fait, la majorité des régions du monde enregistre une baisse de l’activité malveillante observée, à l’exception du Benelux et des Nordiques. Mais cela ne manque pas d’être parfois trompeur.
Ainsi, en France, la surprise vient du nombre de demandes d’assistance, pour ransomware, reçues par Cybermalveillance.gouv.fr (hors particuliers) durant le mois de septembre : 51, soit deux de plus qu’en août et un niveau bas exceptionnel ! En septembre 2023, près de 150 demandes d’assistance de cette nature avaient été reçues.
L’essentiel de l’actualité
- Sophos décrit une nouvelle version de Poortry, un outil utilisé afin de désactiver les logiciels de protection des endpoints (EDR) dans le cadre d’attaques avec ransomware. Depuis 2022, Poortry a évolué pour inclure des capacités plus avancées, telles que la suppression complète des composants critiques des EDR. Utilisant des certificats numériques volés ou compromis, il parvient à contourner les mécanismes de signature de pilotes de Microsoft.
- Des affidés de l’enseigne RansomHub utilisent désormais TDSSKiller et LaZagne pour cibler les systèmes Windows. TDSSKiller (un outil légitime de Kaspersky) est utilisé pour désactiver les services de sécurité tels que les EDR, tandis que LaZagne extrait des identifiants de connexion stockés. Ces deux outils permettent aux attaquants de se déplacer latéralement dans le réseau.
- Une nouvelle variante Linux du ransomware Mallox a été découverte, basée sur le code source de Kryptina, divulgué en février 2024. Initialement conçu pour Windows, Mallox vise désormais les systèmes Linux et VMWare ESXi, marquant une évolution significative. Kryptina, un ancien service de ransomware qui n’a pas réussi à s’imposer, a vu son code réutilisé pour créer « Mallox Linux 1.0 », avec peu de modifications techniques. Cette version utilise toujours le chiffrement AES-256-CBC.
Microsoft décrit l’extension des attaques du groupe Storm-0501 vers des environnements cloud hybrides. Ce groupe, actif depuis 2021, cible des organisations en exploitant des failles de sécurité ou des identifiants volés, pour déployer des ransomwares tels que celui de l’enseigne Embargo. Storm-0501 utilise des outils open-source afin de compromettre les infrastructures locales et cloud, créant des accès persistants. Leurs tactiques incluent le vol d’identifiants Entra ID (anciennement Azure AD) pour compromettre les environnements cloud.