Les différents types de logiciels rançonneur

Le logiciel rançonneur est une préoccupation majeure en matière de sécurité pour de nombreuses organisations. Cependant, toutes les attaques du logiciel rançonneur ne sont pas identiques. Il existe aujourd'hui un certain nombre de variantes du logiciel rançonneur, créées et exploitées par différents groupes.

En savoir plus Évaluation gratuite

La montée en puissance des attaques du logiciel rançonneur

Le logiciel rançonneur existe depuis des décennies, mais ces dernières années, la menace du logiciel rançonneur s'est considérablement accrue. L'épidémie de WannaCry logiciel rançonneur en 2017 a démontré que le logiciel rançonneur était un vecteur d'attaque rentable, et la création de crypto-monnaies comme le bitcoin a permis aux attaquants d'exiger et de recevoir facilement des paiements de rançon.

La pandémie a également contribué à l'essor du logiciel rançonneur, les cybercriminels ayant profité de l'essor du travail à distance et de l'importance accrue des organismes de santé. Alors que le travail à distance fait partie du quotidien des entreprises, la pandémie de logiciels rançonneur continue de se développer.

Comprendre la menace du logiciel rançonneur

le logiciel rançonneur est une menace évolutive pour la sécurité des entreprises. Les campagnes initiales du logiciel rançonneur étaient relativement simples. Le logiciel malveillant a été diffusé par courrier électronique ou par l'exploitation d'une vulnérabilité logicielle et a crypté des fichiers sur les machines infectées. Si la rançon était payée, les attaquants fournissaient un logiciel de décryptage qui permettait à la victime de reprendre ses activités normales.

Au cours des dernières années, les campagnes de logiciel rançonneur ont évolué rapidement. L'un des principaux changements concerne les vecteurs d'infection utilisés. Le logiciel rançonneur cible désormais principalement les solutions d'accès à distance, en exploitant la vulnérabilité RVP ou en utilisant les informations d'identification d'employés compromis pour se connecter via RDP.

Les techniques utilisées par les opérateurs de logiciels rançonneurs pour forcer les victimes à payer la rançon ont également changé. La possibilité de restaurer les sauvegardes neutralise l'impact du chiffrement des données, c'est pourquoi le logiciel rançonneur s'est étendu au vol de données. Les opérateurs de logiciels rançonneurs modernes menacent de divulguer les données volées si une rançon n'est pas payée par la victime et, dans certains cas, par leurs clients. Certains groupes de rançonneurs de logiciels utilisent également la menace d' attaques par déni de service distribué (DDoS) pour les inciter à satisfaire leurs demandes.

Enfin, la menace du logiciel rançonneur a évolué en raison de la spécialisation des rôles et de la création du modèle de logiciel rançonneur en tant que service (RaaS) pour les attaques. Au lieu qu'un seul groupe développe un logiciel malveillant, infecte des organisations et collecte des rançons, les auteurs de logiciels rançonneurs distribuent désormais leur logiciel malveillant à des "affiliés" pour qu'ils l'utilisent dans leurs attaques. RaaS fournit aux affiliés un accès à des logiciels malveillants avancés et permet aux auteurs de logiciels rançonneurs d'étendre leurs campagnes, augmentant ainsi la menace de logiciels rançonneurs.

Top logiciel rançonneur Variantes

Le succès du logiciel rançonneur a incité de nombreux groupes de cybercriminels à développer leurs propres variantes. Parmi les variantes les plus prolifiques et les plus célèbres du logiciel rançonneur, on peut citer

  • REvil : REvil, également connu sous le nom de Sodinokibi, était réputé pour être l'une des variantes du logiciel rançonneur les plus exigeantes. REvil a soudainement cessé ses activités en juillet 2021 après une célèbre attaque contre Kaseya.
  • LockBit : LockBit logiciel rançonneur est une variante RaaS apparue pour la première fois en septembre 2019, alors qu'elle était appelée ABCD logiciel rançonneur (en raison de son nom .abcd ). En juillet 2021, LockBit a infecté AccentureLa Commission européenne a également mis en place un système de gestion des données, qui a permis de voler des données internes et de crypter des serveurs qui ont été restaurés ultérieurement à partir de sauvegardes. WannaCry: WannaCry est la variante du logiciel rançonneur qui a déclenché la récente vague d'attaques du logiciel rançonneur. La variante originale de WannaCry utilisait EternalBlue, un exploit développé par la NSA et divulgué par les ShadowBrokers, pour se propager via des versions vulnérables du PME de Windows.
  • Conti - Conti est un groupe de logiciel rançonneur-as-a-service (RaaS), qui permet aux affiliés de louer l'accès à Infrastructure informatique pour lancer des attaques. Des experts du secteur ont déclaré que Conti est basé en Russie et qu'il pourrait avoir des liens avec les services de renseignement russes.
  • Ryuk: Ryuk est une variante de logiciel rançonneur très ciblée qui demande des rançons élevées à ses victimes. En juillet 2021, la paiement moyen de la rançon de Ryuk était de 691 800 dollars.
  • CryptoLocker : CryptoLocker est une variante précoce du logiciel rançonneur qui a principalement fonctionné de septembre 2013 à mai 2014. Opération Tovar, qui a mis hors d'état de nuire le botnet Gameover ZeuS, a en grande partie tué cette variante du logiciel rançonneur.
  • Petya : Petya est une famille de variantes du logiciel rançonneur. Contrairement à la plupart des logiciels rançonneur, ces variantes cryptent le Master Boot Record (MBR) plutôt que des fichiers individuels.
  • Locky : Locky est une variante du logiciel rançonneur qui a commencé à se répandre en 2016. Il a été utilisé par de nombreuses bandes de cybercriminels et a inspiré d'autres variantes du logiciel rançonneur.
  • Mauvais lapin : Bad Rabbit était une variante éphémère du logiciel rançonneur. attribué à BlackEnergyles créateurs de NotPetya. Contrairement à NotPetya, qui était un wiper déguisé en logiciel rançonneur, le paiement de la rançon de Bad Rabbit a permis de récupérer les fichiers cryptés.
  • Côté obscur: DarkSide est un groupe de logiciels rançonneur aujourd'hui disparu, surtout connu pour son attaque contre Colonial Pipeline en mai 2021. On pense que le groupe opère désormais sous le nom de BlackMatter.
  • CherCry: DearCry est une variante de logiciel rançonneur développée par le groupe HAFNIUM pour exploiter la vulnérabilité de Microsoft Exchange signalée en mars 2021.

Protéger contre le logiciel rançonneur avec Check Point

La grande variété de variantes du logiciel rançonneur et de vecteurs d'attaque peut rendre difficile l'identification de l'auteur de l'attaque. se défendre contre et les supprimer. La protection contre un vecteur d'attaque du logiciel rançonneur peut n'offrir aucune sécurité contre un autre vecteur.

Check Point Harmony Endpoint Protection offre des capacités de détection et de prévention du logiciel rançonneur qui sont à la pointe du marché, conformément à la Évaluation MITRE Engenuity ATT&CK. Pour en savoir plus sur la pandémie de logiciel rançonneur et sur d'autres tendances en matière de cybermenaces, consultez la rubrique 2021 attaque cybernétique Rapport sur les tendances. Vous êtes également invités à inscrivez-vous pour un essai gratuit pour découvrir par vous-même les capacités de prévention du logiciel rançonneur d'Harmony Endpoint.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK