Depuis 2020, BAE Systems Applied Intelligence suit l'évolution et la domination progressive des ransomwares dans le paysage des menaces. Les acteurs de la menace dans cet espace ont largement adopté une technique appelée "double extorsion", où les données volées aux victimes sont exposées sur des sites de fuite souvent uniquement accessibles sur le Dark Web. Plus de 4,000 20 organisations sont apparues sur les XNUMX+ sites de fuite BAE Systems Applied Intelligence pistes à tout moment, avec un peu plus de 2,700 2021 d'entre elles vues en XNUMX seulement.
Les États-Unis ont supporté le poids de cette activité de ransomware, abritant plus de la moitié des victimes de ransomware identifiées en 2021 ; Viennent ensuite le Canada, la Grande-Bretagne et la France, représentant chacun seulement 5 % des victimes identifiées. Les organisations industrielles et manufacturières ont vu leur part d'attention, avec un peu plus d'un quart des victimes se retrouvant dans ce secteur. Les secteurs du commerce de détail et de la santé suivent avec respectivement 9 % et 6 %.
Combattre les ransomwares
Il y a eu un certain nombre de cas de ransomware très médiatisés en 2021, le plus notable étant peut-être le attaque contre Colonial Pipeline en mai. Ici, les opérateurs du rançongiciel DarkSide ont exigé un paiement de 75 bitcoins, une somme qui aurait égalé plus de 4 millions de dollars.
Bitcoin sert de constante dans la majorité des cas de rançongiciels que BAE Systems Applied Intelligence a observés, avec un certain nombre d'autres cas très médiatisés, tels qu'un attaque contre JBS USA en mai impliquant le ransomware REvil, où une rançon de 11 millions de dollars a été payée en bitcoins, et le exploitation de Keseya VSA, où une rançon de 70 millions de dollars en bitcoins a été exigée en échange d'un décrypteur combiné pour les quelque 1,500 XNUMX organisations concernées.
Parmi ces cas, l'attaque contre Colonial Pipeline est peut-être la plus intéressante, et pas seulement parce qu'elle a amené l'entreprise, qui fournit 45 % du carburant à la côte Est des États-Unis, à arrêter ses opérations pendant un certain temps. Environ un mois après que l'entreprise a payé les agresseurs, le ministère américain de la Justice a annoncé il avait récupéré environ 85% des 75 bitcoins totaux payés dans la rançon.
Compte tenu de cette saisie, montrant que le Bitcoin n'est peut-être pas la forme de monnaie infaillible et introuvable qu'il est parfois censé être, BAE Systems Applied Intelligence a prédit que 2022 verra les acteurs de la menace commencer à s'en éloigner et à se tourner vers d'autres crypto-monnaies, telles que Monero, où le traçage est beaucoup plus difficile. Les opérateurs d'une souche particulière de ransomware, Grief, ont suivi cette tendance en 2021, les journaux de chat montrant sa préférence pour Monero en offrant une remise par rapport au montant demandé en bitcoins.
La récupération de fonds n'est qu'un cas parmi d'autres de mesures d'application de la loi prises contre des groupes de ransomwares au cours des dernières années, avec des individus liés à de grandes variantes de ransomwares telles que le mal, Cloper, Égrégor, GandCrab, et plus encore arrêtés. La pièce la plus intéressante de les récentes mesures d'application de la loi sont celles prises par le Service fédéral de sécurité (FSB) de Russie contre les opérateurs du rançongiciel REvil, démontrant potentiellement un changement dans la position de la Russie consistant à nier que les opérateurs de rançongiciels ont été autorisés à s'abriter dans le pays, se déplaçant plutôt pour aider les États-Unis après des entretiens avec son président en 2021.
Regarder vers l'avenir
Avec la prédominance des rançongiciels dans le paysage des menaces criminelles, la question de savoir à quoi ressemblera ce paysage à l'avenir est intéressante.
En 2021, BAE Systems Applied Intelligence a observé une tendance montrant que le revenu médian des organisations compromises avait commencé à baisser, une autre tendance suggérant que le pourcentage d'organisations basées aux États-Unis étant compromises était également en baisse. Alors que la seconde semble s'être à nouveau stabilisée, la baisse du revenu médian des organisations compromises semble se poursuivre.
Il y a probablement un certain nombre de raisons sous-jacentes à ces tendances. Compte tenu de la vague d'organisations américaines de premier plan compromises récemment et de l'attention des forces de l'ordre qui en résulte, les opérateurs de ransomwares peuvent opter pour les organisations qui attireront moins l'attention géographique et politique et qui pourraient avoir une posture de sécurité moins bonne en raison de leur taille. .
L'interdiction des paiements par ransomware est l'un des nombreux moyens de contrer potentiellement le problème des ransomwares et, si elle est effectuée correctement, elle pourrait avoir un impact significatif. Cela nécessiterait toutefois une coordination minutieuse avec les forces de l'ordre, le secteur des assurances et d'autres parties prenantes, et ne devrait pas se faire au détriment des initiatives visant à améliorer les postures de sécurité de l'organisation.
Les ransomwares continuent de représenter une menace majeure pour les organisations du monde entier, un fait mis en évidence par les recherches de BAE Systems Applied Intelligence, et un fait qui, selon nous, ne changera pas dans un avenir proche.
À propos de l’auteur
Dan Alexander est responsable du renseignement sur les menaces chez BAE Systems Applied Intelligence, où il dirige une équipe de renseignement distribuée à l'échelle mondiale, fournissant des informations uniques sur le paysage des menaces. Son équipe est spécialisée dans le suivi et la création de rapports sur les groupes de menaces de premier plan qui manquent aux défenses réseau traditionnelles. Dan dirige également les services de conseil sur les menaces de BAE Systems, fournissant le composant de renseignement sur les menaces des tests de pénétration basés sur le renseignement.
