concept w - stock.adobe.com

Ransomware : forte reprise des hostilités en octobre

Le mois d’octobre a été marqué par une solide envolée des revendications de cyberattaques. La tendance est également à la hausse en France, mais de manière apparemment limitée.

En octobre 2024, ransomware.live a compté près de 559 revendications sur des sites vitrine d’enseignes de ransomware. Au total, après l’intégration des cas constatés dans la presse internationale et les corrections des dates de survenue d’attaque, nous comptons… 526 cyberattaques et revendications à travers le monde, un chiffre jamais atteint depuis quatre ans. 

La surprise est d’autant plus grande que le mois de septembre était apparu particulièrement calme, avec 349 cyberattaques et revendications initialement, et 391 après corrections. 

Plusieurs facteurs ont en tout cas contribué à cette apparente explosion. Tout d’abord, l’enseigne RansomHub continue de s’imposer comme la principale alternative à LockBit 3.0, même si Fog et Killsec se sont montrés particulièrement bruyants au mois d’octobre. Et encore, tout cela vaut alors qu’Akira est resté silencieux durant tout le mois d’octobre – jusqu’à fermer son interface de négociation – de même que Black Basta. Le second a tout juste recommencé à publier des revendications, tandis que la vitrine du premier vient de rouvrir.

Mais les nouvelles enseignes continuent de fleurir comme au printemps, avec des délais de revendication variables. 

L’Amérique du Nord s’inscrit toujours en tête des cas connus, listés à 264, le chiffre le plus élevé sur un an. En fait, la majorité des régions du monde enregistre une hausse de l’activité malveillante observée, à l’exception du Benelux et des Nordiques. Mais cela ne manque pas d’être parfois trompeur. 

Ainsi, en France, la surprise vient du nombre de demandes d’assistance, pour ransomware, reçues par Cybermalveillance.gouv.fr (hors particuliers) durant le mois de septembre : 59, soit huit de plus qu’en septembre et un niveau bas exceptionnel ! En octobre 2023, 150 demandes d’assistance de cette nature avaient été reçues. 

Le nombre de cas observés a également progressé, à 19 contre 10 un mois plus tôt. Pour le troisième mois consécutif, le ratio entre le nombre de cas observés et celui de demandes d’assistance se maintient à un niveau n’ayant jamais été aussi élevé.

L’essentiel de l’actualité

  • Les groupes de ransomware Akira et Fog exploitent une vulnérabilité critique dans Veeam Backup & Replication (CVE-2024-40711) pour exécuter des attaques de prise de contrôle à distance. Bien que Veeam ait publié un correctif début septembre 2024, les cybercriminels utilisent cette faille, associée à des identifiants compromis, pour accéder aux systèmes vulnérables. Certaines attaques, facilitées par l’absence de mesures de sécurité renforcées (comme l’authentification multifacteurs, ou MFA, sur les passerelles VPN), visent également l’exfiltration de données à partir de serveurs non protégés.
  • L’outil EDRSilencer, conçu pour tester la sécurité des systèmes, est détourné par des cybercriminels pour désactiver les solutions de détection et réponse (EDR), en bloquant les communications réseau des processus de sécurité via le Windows Filtering Platform. Cela empêche les alertes d’atteindre les consoles de gestion, rendant la détection de logiciels malveillants plus difficile. Les experts de Trend Micro observent une utilisation croissante de cet outil par des attaquants pour éviter la détection de leurs activités malveillantes.
  • Quatre membres du gang de ransomware REvil ont été condamnés en Russie à des peines de prison allant de quatre ans et demi à six ans pour piratage et blanchiment d’argent. Ces condamnations font suite à une série d’arrestations en 2022 après des informations fournies par les États-Unis. Les membres de REvil avaient orchestré des attaques de grande envergure, notamment contre JBS et Kaseya.
  • Le groupe Black Basta utilise une nouvelle technique de social engineering en se faisant passer pour un service d’assistance via Microsoft Teams, ciblant ainsi des utilisateurs avec des messages frauduleux. Les attaquants incitent les victimes à utiliser des outils de contrôle à distance ou des QR codes pour accéder à leurs systèmes, facilitant ainsi le déploiement de ransomwares. ReliaQuest conseille de restreindre les communications externes sur Teams et de surveiller les connexions suspectes pour contrer ces nouvelles méthodes.
  • L’activité des ransomwares Fog et Akira a récemment augmenté, en partie en exploitant des vulnérabilités dans les passerelles SonicWall SSL VPN. Ces attaques, repérées par Arctic Wolf Labs, ciblent des systèmes utilisant des configurations de sécurité faibles ou des versions non corrigées des logiciels de sécurité. Les chercheurs recommandent de mettre à jour les systèmes VPN et d’activer une authentification multifacteurs pour limiter ces risques.
  • La police fédérale brésilienne a arrêté un pirate informatique, suspecté d’être responsable d’attaques contre le FBI ou encore Airbus, notamment. Identifié par les experts en cybersécurité, ce hacker, connu sous le pseudonyme « USDoD », est accusé de vol et de diffusion de données sensibles, notamment une base de données massive de numéros de sécurité sociale aux États-Unis. Les autorités poursuivent l’enquête pour déterminer l’ampleur de ses activités.
  • Le groupe hacktiviste « Crypt Ghouls » utilise des outils variés comme Mimikatz, AnyDesk, et PsExec pour mener des attaques complexes, ciblant des organisations russes avec des ransomwares LockBit 3.0 et Babuk. Leur modus operandi inclut l’exploitation de VPN compromis et l’accès à distance via des logiciels courants, révélant des similitudes dans les techniques et l’infrastructure employées par d’autres groupes. L’analyse de Kaspersky met en lumière des chevauchements dans les tactiques, techniques et infrastructures de plusieurs groupes d’attaquants.

Pour approfondir sur Menaces, Ransomwares, DDoS