Inside Out - Blog CyberSécurité Blog   /  

Bilan des ransomwares 2021

Bilan des ransomwares 2021

En 2021, les attaques sont devenues à la fois plus efficaces et plus dévastatrices. Parallèlement, les ransomwares déployés à grande échelle, sans cible précise, sont restés omniprésents.

Dans cet article, l’équipe du laboratoire d’étude des menaces de Varonis nous fait part de ce qu’elle a découvert en enquêtant sur les ransomwares.

Elle a isolé 5 grandes tendances en 2021 :

  1. Le Ransomware-as-a-Service est devenu incontournable. En 2021, ce modèle consistant pour des groupes à recruter des affiliés ou des partenaires afin de leur confier des parties précises de leurs opérations a remporté tous les suffrages. 
  2. Les attaquants n’hésitent plus à personnaliser leurs ransomwares. En 2021, les acteurs malveillants ont ciblé leurs victimes à l’aide de ransomwares spécialement conçus pour éviter la détection et être efficaces dans leur environnement.
  3. Les hackers s’attaquent aux gros poissons. Bien établis ou naissants, des groupes de ransomwares pointus et spécialisés dans les cibles d’envergure ont renforcé leur capacité à accéder aux réseaux de leurs victimes dans le monde entier. Ils ont adopté la désormais très utilisée stratégie de « double extorsion », qui consiste à voler des données sensibles et menacer de les dévoiler. 
  4. Les ransomwares ont fait trembler la supply chain. De nombreux incidents très médiatisés ont touché des organisations connues via la supply chain logicielle en 2021 et ont montré l’impact que les ransomwares pouvaient avoir sur une organisation et, dans certains cas, sur tout un secteur économique. 
  5. Les attaquants ont acheté et vendu des malwares comme ils font leurs courses. Les malwares prêts à l’emploi sont restés très populaires auprès d’acteurs très variés, des groupes de cybercriminels organisés cherchant à accéder à l’infrastructure d’une cible lucrative aux script kiddies qui se contentent de dérober des identifiants pour les revendre sur le Dark Web. 

Ransomware-as-a-Service

Les nombreuses offres de Ransomware-as-a-Service (RaaS) ont simplifié la bascule vers le côté obscur en donnant accès à des malwares et autres outils malveillants très puissants. Le RaaS permet aux acteurs les moins doués de tirer parti de cette forme lucrative de cybercriminalité.

Les cryptomonnaies comme le Bitcoin et Monero semblent rester les moyens de paiement préférés des milieux interlopes, que ce soit pour financer leurs activités ou recevoir des paiements de leurs victimes. Les portefeuilles de cryptos constituent également une cible particulièrement appréciée.

Certaines solutions de RaaS reposent sur un modèle par abonnement et facturent l’accès aux malwares de chiffrement. D’autres préfèrent miser sur des commissions de résultats permettant de financer un marché noir plus vaste, composé d’affiliés et de sous-groupes spécialisés dans différents types d’attaques.

On observe par exemple une montée en puissance des IAB (initial access brokers). Ces acteurs, qui n’ont rien de nouveau, ont recours à des techniques de scan de masse pour identifier et exploiter des hôtes vulnérables afin de mettre en place un accès initial sur un système.

Traditionnellement, les IAB vendent ces accès sur des forums et places de marché illicites. Les prix demandés sont proportionnels à la valeur perçue de ces accès. Par exemple, un accès au réseau d’une grande entreprise connue serait vendu plus cher que celui d’une PME.

Les groupes de ransomwares peuvent s’adresser à un IAB pour acquérir des accès aux systèmes de victimes potentiellement lucratives. De nombreux IAB deviennent affiliés ou partenaires de ces groupes et se transforment en réalité en sous-traitants. En échange de leurs services, ils touchent une partie des rançons extorquées, un système probablement bien plus avantageux que leur précédent modèle économique.

Comme on pouvait s’en douter, le fait de percevoir une plus grande partie des profits générés veut aussi dire accepter un risque supérieur. Ces affiliés et partenaires prennent en charge une grande partie des « travaux pratiques » des attaques et sont donc plus susceptibles d’être repérés par les équipes de défense et les enquêteurs. Tout échec de leur OPSEC pourrait permettre de remonter facilement jusqu’à eux.

En revanche, les personnes en haut de l’échelle des organisations de RaaS sont bien moins exposées, en particulier si toutes leurs activités avec leurs affiliés et partenaires sont réalisées par le biais de moyens sécurisés. Ces opérateurs peuvent donc prendre leur part sur toutes les rançons, et si les autorités venaient à se rapprocher un peu trop près, fermer la boutique et/ou se relancer sous un nouveau nom.

Du point de vue des équipes de défense, s’il est facile d’identifier un ransomware pendant la phase de chiffrement, les attaques bloquées avant cette phase sont bien plus complexes à attribuer à un ransomware spécifique, quelle que soit leur motivation.

Par ailleurs, la tâche des autorités se complique de plus en plus, car les groupes de ransomwares compartimentent leurs opérations et mettent en place une OPSEC de haut niveau. Certains vont même jusqu’à cacher leur identité à leurs affiliés. Ainsi, les personnes arrêtées peuvent être des opérateurs situés en bas de la chaîne hiérarchique, ne connaissant que peu de choses de l’identité des dirigeants du groupe ou de sa structure globale.

Ransomware sur mesure

De nombreux groupes créent des ransomwares spécialement pour leurs victimes afin d’éviter la détection basée sur des échantillons observés précédemment et pour s’assurer que la menace sera efficace dans l’environnement dans lequel elle sera déployée.

La plupart des ransomwares prennent la forme de fichiers exécutables ciblant Windows. Dans de nombreux cas, ils sont remis par d’autres menaces, notamment des botnets. Une meilleure compréhension de l’environnement des entreprises actuelles a également poussé certains groupes à mettre au point des menaces capables de cibler des hôtes Linux, notamment ceux utilisés pour stocker des fichiers et assurer la virtualisation (comme VMware ESX).

Généralement, les personnes responsables de la création d’un accès initial à un réseau privilégient une vulnérabilité précise, souvent repérée par des scans de masse. Les incidents observés suggèrent que les vulnérabilités touchant les hôtes RDP et VPN sont toujours les plus populaires.

Par ailleurs, lorsque de nouvelles vulnérabilités graves sont signalées, en particulier lorsqu’elles peuvent être exploitées à distance et permettent d’exécuter du code et/ou d’acquérir des privilèges, les hackers revoient rapidement leurs outils pour ajouter ces exploits à leur arsenal.

De nombreux groupes utilisent régulièrement des outils populaires, comme Cobalt Strike et Mimikatz, ainsi que l’automatisation PowerShell et l’installation de payloads malveillantes, notamment des chevaux de Troie d’accès à distance (RAT), pour pérenniser leur accès.

Une fois qu’ils ont établi un accès initial au réseau d’une victime, ils déploient souvent des stratégies de type APT, par exemple en volant des données selon une approche « discrète et lente » ou « drop feed ». Ces stratégies leur permettent de rester invisibles pendant toute la phase d’exfiltration des données.

Enfin, de nombreux groupes de ransomwares prennent le temps d’étudier minutieusement les données financières de leurs victimes en allant jusqu’à rechercher les caractéristiques de leur police de cyberassurance pour fixer la rançon à un niveau adapté.

Les chasseurs de gros poissons misent sur l’extorsion

Le succès grandissant de la stratégie dite de « double extorsion » pose une question intéressante : un groupe de ransomware doit-il en passer par le chiffrement des données pour atteindre son but ?

Dans de nombreux cas, la réponse est non. S’il vole des données confidentielles ou sensibles, il lui suffit de convaincre sa victime qu’il lui sera moins coûteux ou défavorable de payer la rançon que de voir toutes ces informations divulguées.

En effet, le vol et l’exposition de données permettant l’identification (PII) peuvent entraîner des amendes, mais aussi nuire à la réputation de la victime. Le vol et la divulgation de propriété intellectuelle pourraient quant à eux aboutir pour l’entreprise à la perte d’un avantage concurrentiel en permettant à d’autres acteurs de tirer profit de ses coûteuses activités de R&D.

Du point de vue de l’attaquant, l’abandon de la phase de chiffrement apporte de nombreux avantages. Tout d’abord, il n’a plus à développer et gérer le ransomware. Par ailleurs, il parviendra peut-être à maintenir un accès au réseau de la victime après la demande de rançon, car la phase de chiffrement révèle sa présence aux équipes de défense.

Les groupes de ransomwares continuent de faire évoluer leurs méthodes d’extorsion : d’abord simple demande de rançon, puis stratégies « vol + chiffrement + divulgation », et enfin prise de contact avec les clients, les employés et la presse pour les informer de l’attaque. Nombre d’entre eux renforcent la pression en refusant de collaborer avec des agents de négociation tiers, en conseillant à leurs victimes de payer leur dîme sans faire appel à des éditeurs de cybersécurité ou aux autorités, au risque de voir le montant demandé augmenter, leurs données divulguées, voire pire.

Certains ont même été jusqu’à employer une stratégie de triple extorsion en menaçant leurs victimes d’attaques par déni de service en plus de la diffusion des données volées.

Les arrestations réalisées par les autorités nous mettent du baume au cœur, mais les groupes de ransomwares vont pourtant continuer à se développer et à progresser en 2022. Cette activité est lucrative : pour un acteur démantelé, des dizaines d’autres sont prêts à prendre la relève, qu’il s’agisse de débutants, de concurrents ayant appris des erreurs de leur rival pour étendre encore leur empire ou d’un affilié qui cherche à élargir sa part du gâteau.

Pour chaque victime connue, plusieurs autres ont capitulé en silence pour essayer de minimiser l’impact de l’attaque. Certaines victimes paient la rançon pour récupérer l’accès à leurs données et éviter tout dommage pour leur réputation en cas de fuite de données confidentielles.

Attaques contre la supply chain logicielle

Une stratégie très efficace a beaucoup fait parler d’elle en 2021, alors qu’elle était jusque-là principalement utilisée par des hackers soutenus par des États : l’attaque contre la supply chain logicielle.

À la différence de la technique utilisée classiquement par les États, à savoir compromettre une supply chain faible pour gagner un point d’entrée vers un réseau spécifique, les groupes de ransomwares ont cherché à compromettre des éditeurs pour toucher tous leurs clients. Ces attaques permettent en effet à une seule intrusion de toucher de nombreuses victimes.

Malwares prêts à l’emploi 

Les malwares prêts à l’emploi sont restés très populaires auprès d’acteurs plus ou moins sophistiqués, des groupes de cybercriminels organisés cherchant à accéder à l’infrastructure d’une cible lucrative aux script kiddies qui se contentent de dérober des identifiants pour les revendre sur le Dark Web.

Ces menaces sont aussi nombreuses que variées, mais les analystes ont principalement repéré les familles de malwares suivantes en 2021 :

njRAT

Observé pour la première fois fin 2012 ou début 2013, njRAT est un cheval de Troie d’accès distant (RAT) très facilement accessible, créé par un cybercriminel se faisant appeler « Sparclyheason ».

Le code source de ce cheval de Troie aurait été divulgué en mai 2013, ce qui a sans aucun doute contribué à son adoption par les hackers les moins compétents. De nombreux guides et tutoriels d’utilisation ont en effet fleuri sur les forums du Dark Web et YouTube.

Toujours très actif en 2021, njRAT cible des hôtes Windows et est généralement remis par le biais d’un courriel non sollicité et malveillant (malspam) non spécifique. Il a également été intégré à des applications légitimes téléchargées depuis des sources et sites Web de partage de fichiers peu fiables.

Comme les autres RAT populaires, njRAT offre des fonctions de contrôle et de visualisation à distance, et permet de transférer et d’exécuter des fichiers, de manipuler le registre, et d’accéder à un shell distant. De plus, il propose d’enregistrer des fichiers audio et vidéo en utilisant les microphones et webcams connectés, ainsi que de capturer la frappe au clavier et de voler les mots de passe.

Formbook

Découvert début 2016 et suivi en 2020 par sa variante XLoader, Formbook est un outil de vol d’informations pouvant être acheté sur les forums underground dans le cadre d’une solution de Malware-as-a-Service (MaaS).

Très utilisé par des hackers débutants pour voler des identifiants ou d’autres données, il a connu une popularité grandissante en 2021, probablement en raison de sa disponibilité, son coût modique et sa simplicité d’utilisation. Alors qu’il ne ciblait que Windows dans un premier temps, XLoader a ajouté la prise en charge de macOS, le système d’Apple. En plus du vol d’identifiants, Formbook propose certaines fonctions typiques des RAT, notamment la possibilité de transférer et d’exécuter des payloads, ou de forcer le redémarrage ou l’extinction du système.

Cet outil peut ainsi être facilement utilisé comme point d’entrée initial pour transférer d’autres payloads malveillantes et atteindre un objectif tout autre que le vol de données.

Formbook n’est plus mis en avant directement sur le Dark Web en raison de l’arrivée de XLoader, mais son utilisation reste répandue. En 2021, il a notamment été vu dans de nombreuses campagnes basées sur de fausses factures et autres scams liés à des commandes en ligne.

NanoCore

Identifié en 2013, NanoCore était proposé autour de 25 $, même si des versions crackées ont beaucoup circulé sur les sites underground.

Créé par un hacker arrêté par la suite, NanoCore intègre les fonctionnalités classiques des chevaux de Troie d’accès distant, mais dispose d’une architecture modulaire permettant de compléter ces capacités à l’aide de plug-ins.

Il reste très utilisé par les débutants grâce à la disponibilité de versions crackées ou ayant fuité. On le trouve souvent lié à des bons d’achat ou avis de paiement factices, ainsi que dans des versions piratées de fichiers suspects ou violant le droit d’auteur.

Lokibot

Lokibot, aussi appelé Loki et LokiPWS, est un outil de vol d’informations vu pour la première fois à la mi-2015. Il était proposé pour pas moins de 400 $ sur des forums illégaux, avant que son code source finisse par fuiter.

Il est fréquemment utilisé par les hackers les moins aguerris et constitue désormais une menace répandue. Il prend en charge des modules permettant de fournir des fonctions supplémentaires, notamment un keylogger et un outil permettant de voler les portefeuilles de cryptomonnaies.

Comme on pouvait s’y attendre, les attaquants utilisent généralement Lokibot dans le cadre de campagnes généralistes. En plus des scams autour de la pandémie de COVID-19, on l’a retrouvé dans des courriels de phishing récents intégrant de fausses factures et de faux avis d’expédition.

Remcos

Vendu comme un outil d’accès à distance tout à fait légitime, Remcos a été repéré pour la première fois en 2016 et est depuis régulièrement mis à jour par ses développeurs.

Cheval de Troie d’accès distant parmi les plus populaires, Remcos, comme d’autres outils prêts à l’emploi, constitue une menace simple d’accès pour les hackers peu pointus, et son utilisation est expliquée dans de nombreux guides et tutoriels YouTube.

Par ailleurs, des acteurs bien plus compétents utilisent parfois eux aussi ce type d’outils pour éviter d’avoir à développer les leurs et pouvoir concentrer leurs efforts sur les autres phases de leurs attaques.

En plus des fonctionnalités classiques des RAT, Remcos propose un outil de création de scripts à distance permettant d’exécuter du code simultanément sur plusieurs hôtes.

Les personnes intéressées par Remcos peuvent également acquérir des services supplémentaires auprès de ses développeurs, comme un outil d’envoi de courriels en masse (idéal pour les courriels de phishing) et un service de DNS dynamique. Ce dernier fournit un nom d’hôte unique qui facilite l’accès à l’hôte de commande et contrôle (C2) tout en permettant au hacker de mettre à jour son adresse IP sans avoir à modifier le fichier binaire de Remcos.

Remcos est remis par l’intermédiaire de courriels de phishing contenant des factures, avis d’expédition et autres avis d’imposition factices, ou intégré dans des fichiers liés à des logiciels piratés.

AZORult

Identifié début 2016, AZORult est un outil de vol d’informations souvent remis par le biais de campagnes de malspam axées autour sur des sujets d’actualité ou se faisant passer pour des messages professionnels légitimes.

Les campagnes de malspam intégrant AZORult contiennent généralement un document Microsoft Office dont une macro permet d’exploiter des vulnérabilités courantes. La macro télécharge ensuite une payload auprès de l’infrastructure de commande et contrôle (C2) du hacker.

AZORult est ensuite lancé pour voler des données confidentielles, notamment des identifiants, des informations de carte de paiement, des données de navigation et des portefeuilles de cryptomonnaies, avant de les envoyer vers l’infrastructure C2 et de se désactiver.

AZORult n’est souvent pas seul, probablement car les hackers ont d’autres objectifs que le vol. De nombreux échantillons contenant ce malware prennent la forme de messages professionnels, mais aussi de cracks ou autres contenus louches souvent liés au viol des droits d’auteur.

Netwire

Découvert en 2012 et très utilisé par les cybercriminels, Netwire est un cheval de Troie d’accès distant que l’on peut acheter facilement sur les forums fréquentés par les cybercriminels. Il est souvent associé à des bons de commande et notifications de suivi frauduleux.

En plus des fonctionnalités habituelles des RAT, il bénéficie depuis 2016 d’une fonctionnalité de récupération des cartes bancaires ciblant les appareils connectés à des systèmes de point de vente.

Utilisé dans des campagnes massives, NetWire a également pu être employé dans des campagnes ciblées, probablement pour acquérir en masse des données de carte de paiement issues justement de ce type de système. Netwire applique un chiffrement sur mesure au trafic C2 pour ne pas être détecté et compliquer les enquêtes. Il chiffre les données volées avant de les exfiltrer.

Danabot

Remarqué en 2018, Danabot est un cheval de Troie bancaire modulaire, qui était dans un premier temps exclusivement utilisé par un acteur, avant d’être proposé dans le cadre d’une offre MaaS.

L’architecture modulaire de Danabot l’a rendu extrêmement polyvalent. Il était initialement axé sur le vol d’identifiants, de portefeuilles de cryptomonnaies et d’identifiants bancaires par le biais d’injections Web. Pour autant, il peut par exemple inclure les fonctionnalités d’un cheval de Troie d’accès distant ou d’un ransomware de chiffrement.

Il est généralement remis par l’intermédiaire de campagnes de malspam. En octobre 2021, un paquet NPM de la célèbre bibliothèque JavaScript UAParser.js a été compromis et modifié pour télécharger et exécuter Danabot et un mineur de cryptomonnaies.

Ce paquet légitimement utilisé pour lire des informations dans les chaînes d’agent utilisateur étant téléchargé chaque semaine entre 6 et 7 millions de fois, cet incident aurait pu entraîner la compromission d’un nombre d’hôtes colossal. L’attaque a d’ailleurs été détaillée dans une alerte publiée par la Cybersecurity and Infrastructure Security Agency (CISA).

Emotet

Observé pour la première fois en 2014, Emotet se présentait initialement sous la forme d’un cheval de Troie bancaire. Il a été la cible d’une initiative internationale en janvier 2021.

Même s’il a conservé certaines fonctionnalités centrales liées au vol d’informations, Emotet a évolué au cours des années pour se transformer en un outil de téléchargement d’autres payloads malveillantes. Les hackers proposaient leur botnet sous forme de service à leur communauté. Ils sont devenus les principaux distributeurs d’autres menaces courantes, notamment un ransomware lié au groupe spécialisé dans les cibles d’envergure, Ryuk.

Assez logiquement, Emotet a peu fait parler de lui en 2021, mais il s’est montré plus actif récemment, sans son botnet, qui aurait été démantelé par les autorités.

Bien que les détails des récentes campagnes d’Emotet restent peu connus, 2022 sera probablement l’année de sa résurrection, d’autant plus si les hackers d’origine sont encore aux manettes.

Perspectives

Fin 2021, l’équipe du laboratoire d’étude des menaces de Varonis a analysé le groupe RaaS fournissant le ransomware ALPHV (BlackCat), qui recrute activement de nouveaux affiliés et cible des entreprises qui opèrent dans de multiples secteurs d’activité à l’échelle mondiale.

Le site de fuite du groupe, actif depuis décembre 2021, a révélé que plus de vingt organisations avaient été victimes à la fin du mois de janvier 2022, bien que le nombre de cibles, notamment celles qui ont payé une rançon pour éviter d’être exposées, soit probablement plus élevé. Consultez notre rapport complet.


We're Varonis.

We've been keeping the world's most valuable data out of enemy hands since 2005 with our market-leading data security platform.

How it works