REvil était l'une des formes de ransomware les plus médiatisées. Maintenant que la nuit est tombée, les cybercriminels se tournent vers d'autres sites.
La disparition soudaine de l’un des services de ransomware les plus prolifiques a contraint les escrocs à se tourner vers d’autres formes de ransomware, et l’une d’elles en particulier a connu une forte croissance en popularité.
Le REvil – également connu sous le nom de Sodinokibi – rançongiciel gang est devenu sombre en juillet, peu de temps après avoir attiré l'attention de la Maison Blanche suite à l'attaque massive du ransomware, qui a touché 1 500 organisations dans le monde.
ZDNET Recommande
- Meilleurs services VPN
- Meilleures clés de sécurité
- Meilleur logiciel antivirus
- Les VPN les plus rapides
On ne sait toujours pas si REvil a arrêté définitivement ou s'il reviendra sous une marque différente – mais les affiliés du programme de ransomware n'attendent pas de le savoir; ils se tournent vers d'autres marques de ransomware et, selon l'analyse des chercheurs en cybersécurité de Symantec
, Rançongiciel LockBit est devenue l'arme de choix.VOIR: Une stratégie gagnante pour la cybersécurité (Rapport spécial ZDNet)
Bit de verrouillage est apparu pour la première fois en septembre 2019 et ses responsables ont ajouté un programme de ransomware en tant que service en janvier 2020, permettre aux cybercriminels de louer LockBit pour lancer des attaques de ransomware – en échange d'une part du bénéfices.
LockBit n'est pas aussi médiatisé que d'autres formes de ransomware, mais ceux qui l'utilisent ont été gagner de l'argent pour eux-mêmes des paiements de rançon payés Bitcoin.
Aujourd'hui, la disparition apparente de REvil a conduit à une augmentation du nombre de cybercriminels se tournant vers LockBit pour mener des attaques de ransomware – aidés par les auteurs de LockBit qui s’efforcent de proposer une version mise à jour version.
"LockBit a fait une publicité agressive pour de nouveaux affiliés ces dernières semaines. Deuxièmement, ils prétendent disposer d’une nouvelle version de leur charge utile avec des vitesses de cryptage beaucoup plus élevées. Pour un attaquant, plus vite vous chiffrerez les ordinateurs avant que votre attaque ne soit découverte, plus vous causerez de dégâts", a déclaré à ZDNet Dick O'Brien, rédacteur en chef de recherche chez Symantec.
Les chercheurs notent que bon nombre de ceux qui utilisent désormais LockBit utilisent les mêmes tactiques, outils et procédures qu'ils utilisaient auparavant pour tenter de transmettre REvil aux victimes - ils viennent de changer la charge utile.
Ces méthodes incluent l’exploitation vulnérabilités non corrigées du pare-feu et du VPN ou attaques par force brute contre les services de protocole de bureau à distance (RPD) laissés exposés à Internet, ainsi que l'utilisation d'outils tels que Mimikatz et Netscan pour aider à établir l'accès au réseau requis pour installer un ransomware.
Et comme d’autres groupes de ransomwares, les attaquants de LockBit utilisent également doubles attaques d'extorsion, volant les données de la victime et menaçant de les publier si une rançon n'est pas payée.
Bien qu'il soit resté quelque peu inaperçu jusqu'à présent, les attaquants utilisant LockBit l'ont déployé. dans une tentative d'attaque par rançongiciel contre Accenture – bien que la société ait déclaré que cela n’avait aucun effet car elle était en mesure de restaurer les fichiers à partir d’une sauvegarde.
LockBit a également attiré l'attention des services de sécurité nationale; le Centre australien de cybersécurité (ACSC) a publié une alerte sur LockBit 2.0 cette semaine, mettant en garde contre une augmentation des attaques.
VOIR: Cette nouvelle attaque de phishing est « plus sournoise que d'habitude », prévient Microsoft
Les ransomwares constituent une menace pour les organisations, quelle que soit la marque utilisée. Ce n’est pas parce qu’un groupe de premier plan semble avoir disparu – pour l’instant – que les ransomwares constituent une menace moindre.
"Nous considérons LockBit comme une menace comparable. Il ne s’agit pas seulement du ransomware lui-même, mais aussi de la compétence des attaquants qui le déploient. Dans les deux cas, les attaquants derrière les menaces sont tout à fait habiles", a déclaré O'Brien.
« À court terme, nous nous attendons à ce que Lockbit continue d'être l'une des familles de ransomwares les plus fréquemment utilisées dans le cadre d'attaques ciblées. Les perspectives à long terme dépendent de la question de savoir si certains des développeurs de ransomwares récemment partis – tels que REvil et Côté obscur – revenez", a-t-il ajouté.
Pour éviter d'être victime d'attaques de ransomwares, les organisations doivent s'assurer que les logiciels et services sont à jour avec les derniers patchs, les cybercriminels ne peuvent donc pas exploiter les vulnérabilités connues pour accéder aux réseaux. Il est également recommandé que authentification multifacteur est appliqué à tous les comptes d'utilisateurs, pour empêcher les attaquants d'utiliser facilement des mots de passe divulgués ou volés.
Les organisations devraient également sauvegarder régulièrement le réseau, ainsi en cas d'attaque par ransomware, le réseau peut être restauré sans payer de rançon.
PLUS SUR LA CYBERSÉCURITÉ
- Cette attaque majeure de ransomware a été déjouée à la dernière minute. Voici comment ils l'ont repéré
- Ransomware: ce sont les deux moyens les plus courants par lesquels les pirates informatiques pénètrent dans votre réseau
- Face à l'augmentation des attaques de ransomwares, les États-Unis lancent un nouveau site pour lutter contre la menace
- Avons-nous atteint le pic des ransomwares? Comment le plus gros problème de sécurité d'Internet s'est développé et que se passera-t-il ensuite
- Cette entreprise a été touchée par un ransomware. Voici ce qu'ils ont fait ensuite et pourquoi ils n'ont pas payé