Retracer l'arbre généalogique des ransomwares, pour permettre aux équipes de sécurité de suivre le nombre toujours croissant de variantes et les réseaux de botnets qui les alimentent, par DomainTools

La société DomainTools, spécialisée dans le renseignement sur les menaces, s'est penchée sur l'économie souterraine en plein essor qui entoure les ransomwares, en se concentrant sur les familles de ransomwares les plus prolifiques.

Les trois premières familles de ransomwares par nombre de victimes sont : Conti, Maze (Egregor) et Sodinokibi (Revil). Tous ces groupes concluent des alliances, partagent des outils et se vendent des accès les uns aux autres, et rien ne reste statique. Il existe également des programmes d'affiliation sophistiqués, dans le cadre desquels les auteurs de ransomwares conçoivent un code qu'ils vendent ensuite à d'autres contre un pourcentage de la rançon perçue.

L'accès au ransomware se fait généralement via une porte dérobée ou un botnet initial, souvent appelé courtier d'accès initial. Ces portes dérobées, des chevaux de Troie d'accès à distance (RAT), sont d'abord déposées par un téléchargeur, un autre logiciel simple et obscurci qui est généralement distribué par des courriels de spam contenant des documents malveillants.

Alors, qu'en est-il des trois principaux ransomwares ?

Conti, observé pour la première fois en décembre 2019, utilise une approche multithread qui rend l'exécution beaucoup plus rapide que les autres familles de malwares. Cela peut signifier que lorsque les défenseurs remarquent l'infection par Conti sur une machine, il est trop tard. On pense que Conti est exploité par le même groupe que celui à l'origine du ransomware Ryuk, qui exploite également une offre Ransomware-as-a-Service (RaaS) et dispose d'un site de fuite qu'il exploite contre les victimes pour une double extorsion.

Le groupe Maze ransomware reste l'un des programmes d'affiliation de ransomware les plus prolifiques. Formé en 2019, le groupe a annoncé sa retraite en novembre 2020, bien que la plupart de ses affiliés soient maintenant passés à l'utilisation du ransomware Egregor.

La famille de ransomware REvil est apparue pour la première fois en avril 2019 et on pense, en raison de similitudes de code, qu'elle est le successeur spirituel de GandCrab, une variante antérieure de ransomware qui ciblait les consommateurs. Elle présente un certain nombre de caractéristiques uniques, notamment la tentative d'escalade des privilèges en spammant constamment l'utilisateur avec une invite de connexion d'administrateur ou le redémarrage en mode sans échec de Windows pour chiffrer les fichiers.

"Si les trois familles précédentes sont peut-être les plus importantes en termes de parts de marché des victimes, il reste un nombre toujours croissant de gangs et de familles de ransomware à suivre dans le cycle rapide des nouvelles", écrit Chad Anderson, chercheur principal en sécurité chez DomainTools, sur le blog de la société. "Ces trois familles offrent également un aperçu de ce à quoi ressemble la majeure partie du marché des ransomwares en ce qui concerne les vecteurs et les chaînes d'infection."

Nom : domain.jpg
Affichages : 2543
Taille : 33,0 Ko

Source : DomainTools

Et vous ?

Qu'en pensez-vous ?
Selon vous, quelles autres familles de ransomwares devraient également être prises en sérieuse considération ?

Voir aussi :

Censuswide : près de la moitié des victimes de ransomware sont à nouveau touchées par le même attaquant, après avoir payé la première rançon

Ransomware : augmentation des techniques de triple extorsion qui combine le chiffrement de fichiers, le vol de données et les attaques DDoS, par Philippe Alcoy, spécialiste sécurité chez NETSCOUT

Comment les acteurs des ransomwares ajoutent des attaques DDoS à leur arsenal pour augmenter la pression sur les victimes