Après une année 2021 assiégée par les ransomwares, les volumes d'attaques continuent d'augmenter en 2022. En fait, un rapport publié mardi indique qu'au cours des trois premiers mois de cette année seulement, le volume de détections de ransomwares a presque doublé le volume total signalé pour l'ensemble de l'année dernière. .
Les chiffres de plus en plus élevés sont survenus malgré ce qui semblait être la chute d'un grand groupe de ransomwares fin 2021 : REvil. Cela témoigne de la persistance des acteurs criminels à réformer, renommer et regrouper leurs gangs criminels pour profiter généreusement des tactiques de ransomware.
Cette persistance a été étudiée plus récemment par des chercheurs en sécurité qui ont noté la montée rapide du gang de rançongiciels Black Basta au cours des deux derniers mois, peu après l'émergence du Groupe LAPSUS$ plus tôt dans l'année.
Volumes des rançongiciels 2022 : en hausse, en hausse, en hausse
Les chiffres proviennent aujourd'hui du trimestriel "Rapport sur la sécurité Internet” de WatchGuard Threat Lab, qui examine les tendances des menaces au premier trimestre 1. Les chercheurs de l'entreprise rapportent que les détections uniques de ransomwares au cours des trois premiers mois de l'année ont triplé le volume de la même période en 2022. Entre-temps, le volume de ransomwares du premier trimestre 2021 équivalait à plus de 1 % du volume total enregistré sur l'ensemble de 2022.
"Sur la base du pic précoce des ransomwares cette année et des données des trimestres précédents, nous prévoyons que 2022 battra notre record de détections annuelles de ransomwares", déclare Corey Nachreiner, directeur de la sécurité de WatchGuard, notant que le dernier record annuel du volume des ransomwares est venu retour en 2018.
LAPSUS$ se lance dans l'économie souterraine
Le rapport de son équipe explique que même face aux arrestations très médiatisées et aux accusations portées par US et Russe autorités à la fin de 2021 et au début de 2022 qui ont entraîné la perturbation du prolifique gang de ransomwares REvil, les hits de ransomwares continuent d'arriver. Leur analyse montre que la perturbation de REvil a "ouvert la porte" à l'émergence massive de LAPSUS$.
"Le groupe LAPSUS$ a fait la une des journaux mondiaux avec leur techniques de ransomware à double extorsion qui a amené les décideurs en matière de cybersécurité à en prendre note », indique le rapport. «Le groupe était connu pour embaucher des employés d'organisations pour voler des informations de l'intérieur, puis utiliser des techniques d'extorsion pour faire chanter les organisations victimes. Leur liste de victimes a également alerté les décideurs. Microsoft, Nvidia, Samsung, Ubisoft, Okta et T-Mobile sont tous victimes de LAPSUS$.
Ce genre de résurgence de nouveaux groupes devrait atténuer les célébrations des équipes de sécurité de la disparition de groupes comme REvil et Conti, qui en mai auraient arrêté leurs opérations. Statistiques du groupe NCC montrent une légère baisse des attaques ce mois-là, avec un avertissement que d'autres chefs du gang de rançongiciels Hydra commençaient déjà à émerger.
Black Basta: New Kid sur le bloc Ransomware
Plus récemment, le gang de rançongiciels Black Basta a fait irruption sur la scène. Plus tôt dans le mois, deux rapports distincts d'Uptycs et NCC Group ont montré que Black Basta ciblait les systèmes et serveurs basés sur ESXi parmi d'autres victimes, et utilisait la famille de logiciels malveillants Qbot (alias Qakbot) pour maintenir la persistance sur les réseaux qu'il poursuit.
"Bien que Black Basta ne soit pas le premier à développer des capacités contre ESXi (LockBit, Hive et Cheerscrypt ont déjà démontré des capacités ESXi), cela montre la sophistication relative des équipes travaillant sous Black Basta pour effectuer les opérations de ransomware", a déclaré Jake Williams, directeur exécutif du renseignement sur les cybermenaces chez SCYTHE, dans une déclaration fournie à Dark Reading. « L'utilisation de logiciels malveillants de base comme Qakbot démontre qu'il n'existe pas d'infection par un logiciel malveillant de type « produit de base ». Les organisations doivent traiter chaque détection de malware comme une opportunité pour un acteur malveillant de déployer un ransomware.
Entre-temps, un rapport consultatif de l'équipe de recherche Cybereason Nocturnus la semaine dernière a offert plus de détails sur les tactiques, techniques et procédures de Black Basta. Ils ont jugé la menace du groupe très grave, car il a victimisé plus de 50 entreprises dans les pays anglophones du monde entier depuis avril. Les chercheurs ont déclaré que la marque de fabrique de l'entreprise est son utilisation de la double extorsion - c'est-à-dire voler des fichiers et des informations sensibles et les utiliser pour extorquer les victimes en menaçant de publier les détails à moins qu'une rançon ne soit payée. Les sommes demandées se chiffrent souvent en millions.
La montée soudaine de Black Basta laisse supposer que le groupe n'est en fait qu'un regroupement des deux groupes les plus récemment dissous.
"En raison de leur ascension rapide et de la précision de leurs attaques, Black Basta est probablement exploité par d'anciens membres des anciens gangs Conti et REvil, les deux gangs de ransomwares les plus rentables en 2021", déclare Lior Div, PDG de Cybereason.
