4 groupes de ransomwares en embuscade
Les chercheurs de l'Unité 42 de Palo Alto Networks ont identifié quatre groupes de ransomwares émergents ciblant actuellement les entreprises, qui pourraient devenir, demain, les vecteurs d'attaques parmi les plus dangereux.
Dénommés AvosLocker, Hive Ransomware, HelloKitty et LockBit 2.0, ces quatre groupes de ransomwares émergents identifiés par des chercheurs de l'Unité 42 de Palo Alto Networks pourraient poser de sérieux problèmes à l'avenir.
Ransomwares émergents
Selon le dernier rapport de l'entreprise de sécurité intitulé « Ransomware Groups to Watch : Emerging Threats » (Les groupes de ransomwares émergents à surveiller), « si, pour échapper à la pression des autorités et à l'attention des médias, les principaux groupes de ransomwares comme REvil et Darkside font profil bas ou ont changé de nom, de nouveaux groupes vont émerger pour remplacer ceux qui ne ciblent plus activement les victimes ». Dans le cadre de cette étude, Doel Santos, analyste des renseignements sur les menaces, et Ruchna Nigam, chercheur principal sur les menaces, expliquent en détail le comportement de ces quatre groupes de ransomwares.
AvosLocker
Observé pour la première fois en juillet 2021, AvosLocker fonctionne selon le modèle du ransomware-as-a-service (RaaS). Ce dernier est contrôlé par avos, lequel fait de la publicité pour ses services sur le forum de discussion du dark web Dread. Sa note de rançon comprend des informations et un identifiant permettant d'identifier les victimes, et demande aux personnes infectées de se rendre sur le site Tor d'AvosLocker pour récupérer et restaurer leurs données. Selon le rapport, le montant des rançons se situe entre 50 000 et 75 000 dollars payables en Monero. Sept entreprises dans le monde ont été victimes de ce ransomware.
Hive Ransomware
Les premières opérations détectées sur ce ransomware ont démarré en juin 2021. Selon le rapport de Palo Alto Networks, Hive Ransomware a ciblé les entreprises de santé et d'autres entreprises mal équipées pour se défendre contre les cyberattaques. Le groupe a publié le nom de sa première victime sur son site dénommé Hive Leaks, suivies par 28 autres. « Quand ce ransomware est exécuté, il dépose deux scripts batch », expliquent les chercheurs. « Le premier script, hive.bat, tente de se supprimer lui-même, et le second script est chargé de supprimer les copies masquées du système (shadow.bat). Le ransomware Hive ajoute l'extension [caractères aléatoires].hive aux fichiers chiffrés et dépose une note de rançon intitulée HOW_TO_DECRYPT.txt contenant des instructions et des directives pour éviter la perte de données ». Les victimes sont dirigées via la note de rançon vers une fonction de chat pour discuter du décryptage avec les attaquants. Les chercheurs ne savent pas exactement quelle est la méthode de diffusion du ransomware, mais ils pensent que les pirates pourraient utiliser des moyens traditionnels comme une attaque par force brute pour récupérer des identifiants ou le spear-phishing.
HelloKitty : Edition Linux
Ciblant principalement les systèmes Windows, la famille HelloKitty a émergé en 2020. Le ransomware doit son nom à l'utilisation de HelloKittyMutex. En 2021, Palo Alto a détecté un échantillon Linux (ELF) portant le nom de funny_linux.elf et contenant une note de rançon dont le langage correspondait directement aux notes de rançon présentes dans les échantillons ultérieurs de HelloKitty pour Windows. D'autres échantillons ont été découverts et, au mois de mars, ils ont commencé à cibler les serveurs VMware ESXi, une cible de choix pour les récentes variantes de ransomwares pour Linux. « Étrangement, le mode de communication préféré des attaquants dans les notes de rançon des différents échantillons est un mélange d'URL Tor et d'adresses électroniques Protonmail spécifique à chaque victime », expliquent les chercheurs. « Il est possible dans ce cas que l'on ait à faire à des campagnes différentes ou même à des acteurs de la menace entièrement différents, mais qui utilisent la même base de code de logiciels malveillants ». Des demandes de rançon allant jusqu'à 10 millions de dollars payables en Monero ont été détectées, mais les attaquants semblent également prêts à accepter des paiements en Bitcoin. Le ransomware chiffre les fichiers à l'aide de l'algorithme de signature numérique à courbe elliptique Elliptic Curve Digital Signature Algorithm (ECDSA).
LockBit 2.0
Précédemment connu sous le nom ABCD, le ransomware LockBit 2.0 désigne un autre groupe fonctionnant comme un ransomware-as-a-service (RaaS). Bien qu'en activité depuis 2019, Palo Alto a découvert une évolution récente des méthodes du groupe, les acteurs affirmant que la variante actuelle de leur logiciel de chiffrement était la plus rapide en activité. Depuis le mois de juin, le groupe a compromis 52 entreprises mondiales. « Tous les messages postés par les acteurs de la menace sur leur site incluent un compte à rebours avant la divulgation publique des informations confidentielles volées à l'entreprise victime, ce qui crée une pression supplémentaire », écrivent les chercheurs. Dès son exécution, LockBit 2.0 démarre le cryptage des fichiers et ajoute l'extension .lockbit. Une fois le chiffrement terminé, une note de rançon intitulée Restore-My-Files.txt informe les victimes de la compromission et leur donne des conseils sur le processus de déchiffrement.
