Il semblerait que la fin n’ait pas encore sonné pour DarkSide et REvil. Le nouveau groupe BlackMatter a fait son apparition et affirme être leur successeur. Il ne s’agit pas simplement de paroles creuses, le groupe a en effet développé une version pour Linux de son ransomware conçue pour cibler la plateforme ESXI VM de VMWare.
Le changement de nom de BlackMatter/DarkSide n’est ni surprenant, ni inhabituel. Après le lancement d’attaques de grande envergure, de nombreux groupes de hackers retrouvent rapidement l’anonymat. Ils changent alors de nom et reprennent leurs opérations un peu plus tard. Cette semaine, le site Krebs on Security a d’ailleurs publié un article sur la distraction par le nom. L’article analyse les raisons pour lesquelles nous ne devrions pas nous attarder sur les noms des groupes de ransomware, mais plutôt sur les quelques cybercriminels qui développent des programmes de ransomware afin de pouvoir mettre fin à leurs objectifs malveillants.
L’autre grand sujet d’actualité cette semaine est le recentrage sur les menaces internes. LockBit 2.0 essaie de recruter des agents en interne pour infiltrer des réseaux d’entreprises, offrant des millions de dollars en guise de paiement. Nous avons toutefois pu voir cette semaine que les entreprises ne sont pas les seules à devoir être vigilantes vis-à-vis des menaces internes et des employés mécontents. Contrarié d’avoir été banni, l’un des membres du groupe de hackers Conti a ainsi décidé de divulguer outils et contenus de formation, un véritable puits d’informations pour les chercheurs en sécurité qui essaient de comprendre comment ces groupes opèrent.
Sans surprise, le deuxième trimestre 2021 a été marqué par un nombre record d’attaques de ransomware, les trois principales souches étant Ryuk, Cerber et SamSam. Cette hausse des attaques a également donné lieu à une sorte de course aux armements avec de plus en plus de groupes de hackers cherchant à cibler des prestataires de services gérés (MSP), suite aux dommages causés par l’attaque de REvil.
Si vous suivez les informations politiques relatives aux ransomwares, de nouvelles données ont été publiées concernant le renoncement de la Maison-Blanche à bannir les paiements de ransomware.
Recherches sur les malwares
Cette semaine, de nouvelles variantes de souches de ransomwares courantes ont fait leur apparition, notamment Dharma/Crysis, avec les variantes ajoutant aux fichiers les extensions .GanP, .JRB, .CLEAN, Phobos ajoutant l’extension .WIN,
et Stop/Djvu, l’extension .repg.
Deux nouvelles souches de ransomware ont également vu le jour : Divinity Ransomware, ajoutant aux fichiers l’extension .divinity et Salma Ransomware, ajoutant l’extension .salma.
Conférences de sécurité à venir
Crypto 2021 (16-20 août)
Crypto, à ne pas confondre avec la cryptomonnaie, est une conférence sur la recherche en cryptologie.
Fraud & Payments Security Summit (17-18 août)
Cette conférence traite de la cybersécurité dans le secteur financier et tout particulièrement sur le phishing, les fraudes par e-mail, les risques internes et la fraude de nouveaux comptes.
Blue Team Con (28-29 août)
Axée sur l’approche Blue Team, cette conférence présente des discussions sur les risques relatifs à la non-conformité, le développement de la sécurité des applications, la gouvernance, et sur bien d’autres sujets.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Michael Raymond
Michael Raymond est chercheur en sécurité et producteur de vidéos pour les chaînes YouTube Null Byte et SecurityFWD.