Report – Data Extortion Ransomware & The Cybercrime Supply Chain: Key Trends in 2023

Au cours des dernières années, les auteurs de menaces ont multiplié les ransomwares, mettant non seulement en danger la disponibilité des données, mais également leur confidentialité.

Ce rapport se penchera sur la tendance croissante de l'extorsion de données dans les ransomwares, en analysant les données de nombreuses attaques de ce type pour comprendre l'évolution des tendances, les principaux acteurs de la menace et les secteurs concernés. Notre objectif est d'équiper les équipes CTI, les équipes rouges, les équipes bleues et les responsables de la sécurité de stratégies fondées sur des données probantes pour mieux comprendre préparation aux ransomwares et combattre cette menace.

Introduction

En 2019, la nature des ransomwares a fondamentalement changé. Les opérateurs de ransomwares sont traditionnellement associés au refus de la disponibilité de l’infrastructure informatique en chiffrant les systèmes, puis en extorquant la victime. 2019 a vu l’avènement d’une nouvelle tactique ; le groupe de ransomwares Maze a commencé à voler des données avant le chiffrement, puis à faire chanter les victimes en menaçant de divulguer des données et des fichiers sensibles, mettant ainsi en péril la confidentialité et la disponibilité des données. 

Ce rapport de recherche Flare se concentrera sur une nouvelle tendance potentiellement dangereuse : l’adoption rapide de tactiques d’extorsion de données par les groupes de ransomwares et leurs affiliés. Pour ce faire, nous commencerons par examiner comment les groupes de ransomware opèrent dans le cadre de l’écosystème plus large de la cybercriminalité. Nous examinerons ensuite attentivement les données de milliers d'attaques de ransomware à double et triple extorsion pour répondre à des questions clés, notamment l'évolution des tendances en matière d'attaques d'extorsion de données au fil du temps, les groupes qui représentent la menace la plus importante et les secteurs les plus touchés. Enfin, nous fournirons des recommandations concrètes et fondées sur des preuves aux équipes de renseignement sur les cybermenaces (CTI), aux équipes rouges, aux équipes bleues et aux responsables de la sécurité. 

Ce rapport sera divisé en trois sections, chacune conçue pour contextualiser et aider les équipes de sécurité à mieux comprendre la menace posée par les groupes de ransomwares et leurs affiliés.

SalesIntel a fourni des données pour mieux comprendre les victimes dans ce rapport.

Section 1 se concentre sur le rôle des groupes de ransomwares et de leurs affiliés dans l’écosystème plus large de la cybercriminalité. Cette section examinera les preuves de la manière dont les groupes de ransomwares obtiennent un accès initial aux systèmes, ce qu'ils font de cet accès et l'anatomie d'une attaque.

Section 2 fournit une analyse détaillée des données collectées à partir de plus de 3,000 XNUMX fuites de ransomwares pour examiner les principales tendances liées aux ransomwares. 

Section 3 propose des recommandations concrètes et fondées sur des preuves aux RSSI, aux équipes CTI et aux équipes chargées des opérations de sécurité sur la manière de réduire le risque de ransomware.

Termes et définitions

  • Extorsion de données : Désigne une tactique de ransomware dans laquelle l'opérateur du ransomware exfiltre des données et menace de les publier si la rançon n'est pas payée.
  • Rançongiciel de double extorsion : Désigne des tactiques dans lesquelles deux méthodes d'extorsion sont utilisées (par exemple, l'extorsion de données et le cryptage).
  • Ransomware triple extorsion : Désigne les événements de ransomware dans lesquels au moins trois méthodes d'extorsion distinctes sont utilisées pour tenter de forcer la victime à payer (par exemple, le cryptage, l'extorsion de données et la notification à un tiers).
  • Groupe de rançongiciels : Désigne un groupe criminel organisé axé sur la création, la distribution et l’extorsion de ransomwares.
  • Affilié Ransomware : Désigne une partie extérieure qui s'associe à un groupe de ransomwares et partage les bénéfices potentiels.
  •  Blog sur les ransomwares : Fait référence à un site Web sur Tor géré par un groupe de ransomwares où les données des victimes sont publiées.
  • Site dédié aux fuites (DLS) : fait référence à un site Web/service caché sur lequel les opérateurs de ransomware publient les données volées. Les groupes plus avancés maintiendront généralement un blog et un DLS.

Préface 

  • Les attaques de ransomware impliquant l’extorsion de données ont augmenté à un rythme annualisé de plus de 112% dans 2023.
  • La fabrication, les technologies de l’information et les services professionnels sont les secteurs les plus ciblés. 
  • LockBit, Alphvm, CL0P et BianLian restent les groupes les plus actifs en 2023, LockBit éclipsant tous les autres groupes en termes de nombre de messages d'extorsion de ransomware.
  • Les groupes de ransomwares utilisent très probablement des journaux d'infostealer contenant des informations d'identification d'authentification unique (SSO) et du service de fédération d'annuaire actif (AD FS) comme vecteur d'attaque. 
  • Les groupes de ransomwares continuent de proliférer, avec des dizaines de groupes actifs, dont beaucoup disposent de programmes d’affiliation permettant la « démocratisation » des ransomwares. 

Section 1 : Groupes de ransomwares, extorsion de données et placement de l'économie des ransomwares dans l'écosystème plus large de la cybercriminalité

Il est impossible de comprendre le fonctionnement des groupes de ransomwares sans comprendre leur rôle dans l’écosystème plus large de la cybercriminalité. Les groupes ne fonctionnent pas en vase clos ; au lieu de cela, ils bénéficient d'un accès initial aux environnements informatiques de l'entreprise, d'informations d'identification et de cookies pour les applications SSO, ainsi que d'une infrastructure prête à l'emploi pour la distribution. Nous examinerons tour à tour chaque élément de l’infrastructure de support des ransomwares.

Groupes de ransomwares et affiliés de ransomwares

Comprendre la distinction nette entre les groupes de ransomwares et leurs affiliés est nécessaire pour contextualiser leur place dans l’écosystème plus large de la cybercriminalité. Les groupes de ransomwares sont des entités autonomes qui prennent différentes formes organisationnelles.

 

Page de recrutement du groupe de ransomware Karakurt

Dans de nombreux cas, elles sont organisées de la même manière que les entreprises, avec des hiérarchies claires et des spécialisations de rôles. Certains groupes de ransomwares, tels que Karakurt, fonctionnent de manière entièrement autonome, créant et distribuant des ransomwares, tout en collectant des rançons.

Cependant, d’autres groupes ont développé un modèle économique différent. Des groupes tels que LockBit gèrent des programmes d'affiliation dans lesquels le groupe fournit le ransomware à des sous-traitants externes qui parviennent à obtenir un accès initial et à infecter les systèmes. Cela permet aux groupes de tirer parti des économies d’échelle et de la spécialisation des rôles, en infectant davantage de victimes et en augmentant les indemnités. Cela réduit également les risques pour le groupe ; par exemple, même si neuf filiales ne parviennent pas à mener une attaque substantielle, le groupe peut quand même profiter du succès de la dixième. Cette stratégie permet également au groupe lui-même de se concentrer sur les ensembles de fonctionnalités du code et des ransomwares.

Infostealers, marchés du Dark Web et chaînes de télégrammes payantes

Les logiciels malveillants Infostealer et les journaux de vol représentent l’un des risques les plus sous-estimés dans les programmes de cybersécurité modernes. Variantes d'infostealer telles que Redline, Raccoon, Aurora, Vidar, Titan et d'autres infectent les ordinateurs des victimes principalement via des téléchargements de logiciels piratés, des publicités malveillantes et des e-mails de phishing. Ils procèdent ensuite à l'exfiltration des données de l'appareil infecté, y compris l'empreinte digitale du navigateur, qui comprend toutes les informations d'identification enregistrées sur le navigateur ainsi que les cookies de session actifs, les informations de carte de crédit et les informations sur l'hôte.

Ces informations sont ensuite regroupées dans des fichiers journaux, qui sont distribués sur les marchés du Dark Web et Chaînes Telegram sur la cybercriminalité. Les journaux des voleurs représentent un vecteur d’accès potentiellement massif pour les groupes de ransomwares. Ils:

  • Sont facilement disponibles et distribués gratuitement sur Telegram.
  • Contiennent souvent un accès aux applications SSO d'entreprise, aux environnements Active Directory (AD) et au protocole de bureau à distance (RDP).
  • Il s'agit d'un vecteur connu que les groupes de ransomwares et leurs filiales ont utilisé pour accéder aux systèmes informatiques de l'entreprise. 

Nous avons également vu des preuves substantielles de courtiers en accès initial (IAB) opérant sur le forums Web sombre Exploiter et XSS utilise des journaux de vol pour obtenir un accès initial aux environnements d'entreprise qui sont ensuite revendus contre des ransomwares.  

Fait clé : Les chercheurs de Flare ont identifié 196,970 53,292 instances d'identifiants AD et XNUMX XNUMX identifiants SSO d'entreprise dans un échantillon de plus de vingt millions de journaux de voleurs uniques. Ces informations d'identification ont été divulguées en raison du téléchargement par les utilisateurs d'un logiciel malveillant infostealer sur leurs ordinateurs, qui a récupéré les informations d'identification AD et SSO. Les environnements AD représentent un point d’accès critique pour les acteurs de la menace de ransomware. De nombreux groupes tentent de prendre le contrôle des environnements AD et de priver les autres administrateurs de leurs privilèges dans un premier temps avant d'exfiltrer des fichiers et de commencer à chiffrer des documents.

Fournisseurs d'infrastructures de logiciels malveillants en tant que service et de cybercriminalité

Le phishing, le spear phishing et la fuite d'informations d'identification continuent de représenter l'un des moyens les plus courants utilisés par les groupes pour accéder à des systèmes privilégiés. Les fournisseurs de logiciels malveillants en tant que service (MaaS) et de phishing en tant que service (PaaS) sur le dark web fournissent toute l'infrastructure et les logiciels malveillants nécessaires pour obtenir un accès initial, sans que l'opérateur du ransomware n'ait besoin de coder lui-même les logiciels malveillants infostealer ou les ransomwares. Ces fournisseurs proposent une gamme de services, notamment des kits d'exploitation, des chevaux de Troie d'accès à distance (RAT) et des botnets, permettant aux cybercriminels de lancer facilement des attaques sophistiquées. En tirant parti de ces services, les opérateurs de ransomwares peuvent infiltrer rapidement et efficacement les réseaux et élever leurs privilèges.

Courtiers d’accès initial et obtention d’un accès privilégié

Les IAB représentent probablement un autre vecteur clé pour les groupes de ransomwares et leurs affiliés. Les IAB opèrent sur les forums du dark web Exploit et XSS ; ils se spécialisent dans l'obtention d'un accès initial aux environnements informatiques d'entreprise qui sont ensuite revendus sous forme d'enchères.

Les IAB ne publient pas fréquemment, généralement seulement une ou deux nouvelles inscriptions par jour. Cependant, les listes sont souvent de haute qualité et contiennent le type exact d’accès dont les opérateurs de ransomwares ont besoin pour compromettre les réseaux et infrastructures d’entreprise sensibles. Une publication typique comprendra le nombre d'hôtes, l'antivirus utilisé par la victime, la géographie de la victime et un « blitz » ou un prix d'achat immédiat. 

La publication de l'IAB annonce la vente de l'accès à la documentation financière et au réseau d'une organisation

Notez la présence de « aucun serveur de sauvegarde » dans la publication illustrée du courtier d'accès initial. Cela indique probablement que le courtier s'attend à ce que l'accès soit utilisé pour des ransomwares dotés d'un cryptage, car dans le contexte de la cybercriminalité, la sauvegarde et la récupération sont spécifiquement conçues pour garantir la disponibilité des données dans la triade de la CIA. 

Blogs sur les ransomwares Tor

Les blogs Tor contre les rançongiciels sont gérés par des groupes de rançon et utilisés pour publier des mises à jour sur les affiliés, annoncer leurs programmes d'affiliation et, surtout, publier des fuites de données provenant de victimes qui n'ont pas payé la rançon. Des sites comme le blog de LockBit créent une pression supplémentaire sur la victime en proposant un compte à rebours pour la date à laquelle les informations de la victime seront divulguées, créant ainsi une pression temporelle et potentiellement alarmant les tiers des victimes.

Les blogs sur les ransomwares sur Tor constituent un élément essentiel du groupe de ransomwares et de l’infrastructure de ses affiliés. Récemment, quelques groupes ont tenté de publier des données divulguées sur des sites Web clairs, mais ont rapidement rencontré des problèmes pour maintenir les données disponibles sur des sites Web clairs en raison des retraits rapides des entreprises.

Section 2 : Ransomware, extorsion de données et croissance explosive de la cybercriminalité organisée

Pour mieux comprendre le défi que les ransomwares posent aux entreprises en 2023, Flare a analysé les publications sur les ransomwares à partir de plus de 18 mois de données. Nous avons examiné les données de plus de 80 blogs sur les ransomwares comprenant des milliers d’événements pour comprendre l’évolution des ransomwares en 2023 et identifier les principales tendances qui peuvent nous aider à comprendre où ils vont.

Les ransomwares d’extorsion de données se développent rapidement

Attaques de ransomware par mois (de janvier 2022 à juillet 2023)

Nous commençons notre analyse en examinant l’augmentation spectaculaire des attaques de ransomware par extorsion de données au cours des 12 derniers mois. Après avoir pris en compte le fait que notre analyse s'étend jusqu'à fin juillet 2023, nous constatons une augmentation annualisée de 112 % des tactiques d'extorsion de données au cours des 18 derniers mois. 

L’augmentation spectaculaire des attaques ne donne pas une image complète de la situation. Les groupes de ransomwares et les victimes ne sont pas répartis de manière égale. Nous examinerons ensuite quels groupes sont responsables du plus grand nombre d’attaques et quels secteurs sont responsables du plus grand nombre de victimes.

Pour les organisations pour lesquelles nous avions un secteur, le secteur manufacturier est de loin le secteur le plus susceptible d’être victime. Il est intéressant de noter que ce résultat s’écarte considérablement de notre récente analyse des IAB, dans laquelle le secteur manufacturier était le cinquième secteur le plus souvent victime au cours des trois derniers mois.

Nombre d'attaques de ransomware par secteur (de janvier 2022 à juillet 2023)

Il existe des différences substantielles dans les secteurs ciblés par les groupes. La fabrication, les technologies de l'information et les services professionnels et aux consommateurs figuraient en tête de notre liste. 

  • Technologies de l'information: Les années 2021 et 2022 ont vu un nombre important d’attaques de ransomware « supply chain » dans lesquelles les MSSP et les entreprises SaaS ayant un accès privilégié aux environnements clients ont été ciblées et utilisées comme méthode de distribution de ransomware. 
  • Services professionnels et aux consommateurs : Les services professionnels englobent des organisations telles que cabinets d'avocats, cabinets comptables, consultants et autres types d’entreprises qui détiennent de grandes quantités de données client hautement sensibles. Ces organisations sont fortement incitées à payer des rançons pour éviter de compromettre les données de leurs clients. 
  • Finances et assurances : Les organisations de services financiers constituent le quatrième secteur le plus attaqué dans notre ensemble de données. Les sociétés de services financiers détiennent certaines des données les plus sensibles possibles sur leurs clients professionnels et individuels. 

Nous avons ensuite analysé quels groupes (et affiliés) sont responsables de la majorité des attaques. Sans surprise, Lockbit s’est imposé nettement devant tous les autres groupes avec plus de 1,000 XNUMX attaques au cours de la période étudiée. 

Nombre d'attaques par des groupes de ransomwares (janvier 2022-juin 2023) 

LockBit Ransomware en tant que groupe de services

Lockbit a émergé rapidement fin 2019, distribuant initialement le ransomware ACBD avant de se renommer LockBit. Ils disposent désormais d'un programme d'affiliation notoirement ambitieux et de près de 100 affiliés travaillant pour compromettre les entreprises, ainsi que d'un blog sur les ransomwares hautement fonctionnel où les données des victimes peuvent être facilement publiées.

L'offre de ransomware en tant que service de Lockbit dispose d'une interface utilisateur simple « pointer et cliquer », permettant aux acteurs malveillants de tous niveaux de l'exploiter efficacement pour la distribution. En 2022, le groupe représentait plus de 20 % des attaques de ransomwares dans certains pays, avec des dégâts se chiffrant en dizaines de millions de dollars. 

Page Web des règles d'affiliation de LockBit 

LockBit a été responsable de nombreuses attaques très médiatisées, notamment contre la ville d'Oakland, le service fiscal italien et la Royal Mail britannique, causant d'importantes pertes financières et une atteinte à la réputation de leurs victimes. Leurs techniques avancées incluent l’exploitation des vulnérabilités du jour zéro et l’utilisation de tactiques d’ingénierie sociale pour exploiter les vulnérabilités humaines au sein des organisations. Cette évolution et cette adaptabilité constantes ont fait de LockBit l’un des groupes de ransomwares les plus redoutables et les plus insaisissables du paysage de la cybersécurité.

Section 3 : Recommandations de Blue Teaming

Les groupes de ransomware exploitent trois vecteurs principaux pour accéder aux organisations :

  • Identifiants volés
  • vulnérabilités
  • Erreur humaine

Journaux de vol et informations d'identification divulguées

Mots de passe dans le navigateur

Les informations d’identification volées sont depuis longtemps considérées comme l’un des principaux vecteurs de violations de données et d’attaques de ransomwares. Cependant, leur importance n’a fait qu’augmenter avec l’avènement d’une classe de logiciels malveillants RAT baptisés infostealer. Les infostealers infectent les ordinateurs et volent toutes les informations d'identification enregistrées dans le navigateur. Ces informations d'identification sont ensuite distribuées sur le dark web et Telegram. Dans de nombreux cas, ils contiennent des cookies de session actifs permettant aux acteurs malveillants de contourner facilement les contrôles 2FA et MFA. 

 

Sessions de cookies actives

En outre, les fuites d’informations d’identification traditionnelles constituent également une menace importante. Dans de nombreux cas, les individus réutilisent leurs mots de passe sur plusieurs services. Si ces services subissent une violation de données et que l'individu a utilisé les mêmes informations d'identification pour les applications RDP, VPN et SaaS d'entreprise, cela peut servir de point d'entrée facile pour les opérateurs de ransomwares. Généralement, une fois qu'un groupe ou un affilié a accès à un réseau, il tente de se déplacer latéralement pour accéder à AD, auquel cas il privilégie les autres utilisateurs et commence à voler des fichiers. 

Pratiques d'excellence

  • Assurez-vous d'avoir mis en place des mesures de détection robustes pour les journaux de voleurs sur le marché russe, le marché Genesis et les groupes Telegram publics/privés. 
  • Surveillez les employés qui réutilisent des mots de passe qui ont été violés et accordez une attention particulière aux employés qui ont réutilisé le même mot de passe lors de plusieurs violations.
  • Surveillez les journaux de vol qui contiennent un accès spécifique aux informations d'identification RDP, VPN et SSO qui pourraient conduire à une compromission. 

de Flare

Flare est la solution proactive de gestion de l’exposition aux cybermenaces externes pour les organisations. Notre technologie basée sur l'IA analyse en permanence le monde en ligne, y compris le Web clair et sombre, pour découvrir des événements inconnus, hiérarchiser automatiquement les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité. Notre solution s'intègre à votre programme de sécurité en 30 minutes pour fournir à votre équipe des renseignements exploitables et des mesures correctives automatisées contre les menaces sur le Web clair et sombre.

Vous souhaitez savoir comment Flare peut prendre en charge la surveillance des activités de ransomware ?

Flare.io • [email protected]

Partager cet article

Rubriques connexes