Les 5 principaux groupes de cybercriminels et leurs attaques

L’un des risques de cybersécurité les plus terrifiants pour les entreprises aujourd’hui est sans aucun doute le ransomware. Il ne fait pas de distinction et laisse dans son sillage des fichiers cryptés et illisibles, des menaces de fuites de données et souvent des millions de dollars de dégâts. De plus, les attaques de ransomware à grande échelle et sophistiquées sont généralement menées, non pas par un individu, mais par des groupes de pirates informatiques hautement organisés et compétents.

Ces « gangs de ransomware », comme on les appelle, utilisent souvent des informations d’identification compromises pour lancer des attaques de ransomware. Examinons quelques-uns de ces groupes et les ransomwares qu’ils utilisent. En outre, nous verrons comment les informations d’identification compromises jouent un rôle dans les attaques réussies de ransomware.

Top 5 des gangs de ransomware

DarkSide

L’une des attaques de ransomware les plus dommageables de l’histoire récente a été menée le 9 mai 2021, visant Colonial Pipeline.  Colonial est un important fournisseur de carburant qui approvisionne en grande partie la côte Est des États-Unis. L’attaque sur Colonial contribue à donner une visibilité aux retombées réelles résultant d’une attaque de ransomware à grande échelle sur les industries de services critiques.

L’attaque contre Colonial a entraîné la fermeture de près de 6 000 miles de pipelines, ce qui a provoqué des pénuries généralisées. En plus des pénuries de carburant et des services interrompus, Colonial Pipeline a payé une rançon de 4,4 millions de dollars. Après le déroulement de l’attaque, Colonial a signalé plus tard en août une violation de données, divulguant des noms, des dates de naissance, des informations relatives au contenu, des numéros de sécurité sociale et d’autres informations personnelles d’identification (PII).     

Le gang de ransomware qui a attaqué Colonial est connu sous le nom de DarkSide. DarkSide est un gang de ransomware relativement nouveau sur la scène. Ils ont revendiqué la responsabilité d’attaques depuis le troisième trimestre de 2020. Cependant, selon le rapport sur les menaces d’eSentire, DarkSide a fait plus de 59 victimes aux États-Unis, en Amérique du Sud, au Moyen-Orient et au Royaume-Uni dans de nombreux secteurs d’activité depuis lors. En outre, quelque 37 attaques de ransomware ont été menées en 2021. 

DarkSide est un gang de ransomware qui opère en tant que Ransomware-as-a-Service (RaaS) et vend ses services à des gangs de malware affiliés sur le dark web. Ce modèle est de plus en plus populaire auprès des gangs de ransomware car il constitue une source de revenus secondaire en plus du paiement des rançons. Il est intéressant de noter que ce modèle donne à de nombreux autres groupes malveillants et même à des particuliers des capacités de ransomware qu’ils n’auraient peut-être pas sans le service RaaS.

La principale attaque de ransomware sur Colonial a commencé par un ancien mot de passe de VPN trouvé sur le dark web. Il a été ainsi rapporté que DarkSide ou l’un de ses affiliés a utilisé un mot de passe de compte VPN périmé pour s’introduire dans le réseau de Colonial Pipeline. Le mot de passe a été découvert dans une liste de mots de passe ayant fait l’objet d’une fuite, selon Bloomberg.         

REvil/Sodinokibi

Le gang de ransomware REvil (également connu sous le nom de Sodinokibi) est un acteur relativement récent sur le marché des ransomware-as-a-Service, ayant ciblé quelques 161 organisations avec 52 attaques à leur actif en 2021. Cependant, les acteurs de la menace sont présents depuis environ 2019 et permettent aux clients de louer son ransomware REvil pour les cibles de ransomware. 

Plus tôt en 2021, REvil a ciblé Acer Computer et Quanta Computer et a exigé le paiement de 50 millions de dollars de rançon de chacun d’entre eux . Les opérateurs de REvil peuvent utiliser divers moyens pour compromettre un réseau au départ. Cependant, ils sont connus pour utiliser des informations d’identification compromises pour infiltrer les réseaux internes. Sophos a donné plus de détails que les procédés utilisés par REvil :

Les experts de Sophos enquêtant sur une récente attaque REvil ont trouvé un lien direct entre un e-mail de phishing entrant et une attaque de rançon de plusieurs millions de dollars deux mois plus tard. L'e-mail de phishing, qui a réussi à capturer les identifiants d'accès d'un employé, provenait probablement d'un courtier d'accès initial (« Initial Access Broker » ou IAB) qui, quelques semaines plus tard, semble avoir utilisé PowerSploit et Bloodhound pour se déplacer dans le réseau violé et localiser les identifiants d'administration de domaine de grande valeur. Le courtier a ensuite vendu ces informations d'identification aux adversaires de REvil afin qu'ils puissent pénétrer dans le réseau de la cible. 

Ces courtiers d’accès initial sur le dark web sont de plus en plus populaires et contribuent à accélérer l’utilisation d’informations d’identification compromises comme point d’entrée facile pour la compromission de ransomware.

Ryuk/Conti

Le gang de ransomware Ryuk/Conti est apparue pour la première fois en 2018, ciblant des institutions américaines, notamment des entreprises technologiques, des prestataires de soins de santé, des établissements d’enseignement et des services financiers. Ils ont accumulé une liste impressionnante de victimes, dont 352 victimes situées en Amérique du Nord, au Royaume-Uni et en France. Le nombre total de nouvelles victimes depuis le début de l’année 2021 s’élève à environ 63. .   

Parmi les victimes du gang de ransomware Ryuk/Conti, on peut citer la série très médiatisée d’attaques contre de petites communautés américaines. Il s’agit notamment du comté de Jackson, en Géorgie, qui a payé une rançon de 400 000 $, de Riviera Beach, en Floride, qui a payé 594 000 $, et du comté de LaPorte, en Indiana, qui a payé 130 000 $.

Le ransomware Ryuk a été observé en particulier dans des attaques contre des hôpitaux et des systèmes de santé américains. En conséquence, en collaboration avec le Homeland Security et Health and Human Services, le FBI a publié des directives à l’intention des organismes de santé.

Fin septembre 2021, trois grandes agences fédérales de cybersécurité ont publié un avertissement sur la menace permanente que représente le ransomware Ryuk/Conti.  L’avertissement officiel, Alert (AA21-265A), les techniques d’attaque initiales sont documentées pour inclure :

• Comptes valides – Les acteurs de Conti ont été observés en train d’obtenir un accès non autorisé aux réseaux des victimes grâce à des identifiants RDP (Remote Desktop Protocol) volés.
• Phishing, Spearphishing (pièce jointe) – Le ransomware Conti peut être diffusé à l’aide du malware TrickBot, qui est connu pour utiliser un e-mail contenant une feuille Excel avec une macro malveillante pour déployer le malware.
• Phishing, Spearphishing (lien) – Le ransomware Conti peut être diffusé à l’aide du malware TrickBot, qui a été diffusé via des liens malveillants dans des e-mails de phishing.

Les informations d’identification volées ou compromises sont l’un des principaux moyens utilisés par les gangs de ransomware de Ryuk pour compromettre les environnements critiques des entreprises et commencer les opérations de reconnaissance et de ransomware.

Avaddon

Le ransomware Avaddon et ses opérateurs sont présents depuis environ 2019. Comme les autres variantes de ransomware de la liste, il est vendu en tant que Ransomware-as-a-Service (RaaS) . Une victime très médiatisée d’une attaque utilisant le ransomware Avaddon est l’assureur français AXA. Dans cette attaque, les acteurs de la menace ont volé des identifiants de clients, des contrats, des rapports et d’autres informations. Il se propage à l’aide de campagnes de phishing et de SPAM qui contiennent des fichiers Javascript malveillants.

Avaddon est également connu pour son infiltration initiale du réseau à l’aide d’identifiants de connexion à distance utilisés pour les connexions Remote Desktop (RDP) et les connexions Virtual Private Network (VPN).

Clop

Le ransomware Clop est apparu sur la scène vers février 2019 et a connu un succès phénoménal.  Ils sont notés comme le premier opérateur de ransomware à demander une rançon de 20 millions de dollars à leur victime, Software AG en Allemagne.  Ils ont causé de nombreuses victimes en utilisant la brèche Acellion. On ignore s’ils sont responsables de l’attaque initiale ou s’ils sont simplement les bénéficiaires de l’attaque d’un de leurs associés.  Clop a de nombreuses victimes de premier plan à son actif, notamment :

• Royal Shell
• La société de sécurité Qualys
• La banque américaine Flagstar
• L’université du Colorado
• Le constructeur d’avions canadien Bombardier
• Université de Stanford

Clop est connu pour son activité unique consistant à rechercher les données volées des victimes et à envoyer des e-mails aux contacts, les incitant à faire payer la rançon à la victime.  Ils sont également connus pour diffuser les informations volées sur le dark web.  Clop a fait des victimes parmi 35 entreprises depuis le début de l’année 2021.  Il est intéressant de noter que la police ukrainienne a arrêté plusieurs membres du gang Clop plus tôt cette année.  Cependant, quelques jours seulement après les arrestations, Clop a revendiqué la responsabilité de deux autres victimes.

Clop a montré sa capacité à installer des chevaux de Troie voleurs de mots de passe dans le cadre de la compromission initiale du réseau. En outre, Clop a déjà publié des fichiers sensibles et des mots de passe de réseau sur le dark web.  Il ne fait aucun doute qu’ils contribuent à alimenter d’autres brèches et attaques par ransomware qui utilisent les informations d’identification volées divulguées par les attaques de Clop. 

Renforcer la sécurité des mots de passe pour se protéger contre les ransomwares

Il est évident que les ransomwares trouvent souvent un point d’entrée dans le réseau en utilisant des informations d’identification compromises. Tous les gangs de ransomwares que nous avons répertoriés ont, dans une certaine mesure, utilisé des informations d’identification compromises lors d’attaques précédentes . Cela contribue à souligner la nécessité pour les entreprises de mettre en place des politiques de mots de passe solides et d’utiliser une protection contre les mots de passe compromis.

Specops Password Policy est une solution robuste de politique de mot de passe qui aide à surmonter les limites des capacités natives de la politique de mot de passe Active Directory.  Avec Specops Password Policy, les organisations ont accès aux fonctionnalités suivantes :

• Vieillissement des mots de passe basé sur leur longueur
• Exigences relatives aux groupes de caractères des mots de passe
• Dictionnaires personnalisés de mots de passe interdits
• Filtrage des mots de passe par expression régulière
• Phrases de passe
• Empêchez l’utilisation de plus de 3 milliards de mots de passe compromis grâce à la protection contre les mots de passe violés, qui inclut les mots de passe figurant sur les listes de violations connues ainsi que les mots de passe utilisés dans des attaques en cours.
• Trouvez les mots de passe compromis dans votre environnement Active Directory.
• Messagerie client intuitive et informative
• Blocage des noms d’utilisateur, des noms d’affichage, des mots spécifiques, des caractères consécutifs, des mots de passe incrémentiels et de la réutilisation des mots de passe.
• Mise en œuvre pilotée par les GPO, s’alignant sur les stratégies de groupe déjà configurées.

Les gangs de ransomware utilisent souvent des mots de passe compromis ou violés pour mener des attaques de ransomware et autres contre des organisations. Ce phénomène a été observé lors de l’attaque du Colonial Pipeline et se vérifie dans de nombreuses autres attaques. Specops Password Policy offre une protection puissante contre les mots de passe violés. 

Avec la protection contre les mots de passe violés de Specops, les organisations reçoivent une protection continue contre les mots de passe compromis. Specops protège contre les mots de passe violés connus et les mots de passe nouvellement découverts utilisés dans les attaques par force brute ou par pulvérisation de mots de passe. En outre, Specops exploite son propre réseau de pots de miel « honeypot » dans le monde entier qui capture les données télémétriques des mots de passe violés.  Les données recueillies sont utilisées pour renforcer la protection contre les mots de passe violés prévue par la politique de Specops en matière de mots de passe.

Comme le montre l’option Liste express, les administrateurs informatiques peuvent :

• Empêcher les utilisateurs de changer pour un mot de passe divulgué.
• Vérifier en permanence les mots de passe divulgués et obliger les utilisateurs à les changer.
• Notifier les utilisateurs lorsqu’ils sont obligés de changer de mot de passe.

Specops Breached Password Protection

En plus de la liste express, la solution Specops Complete API offre des capacités additionnelles.

L’utilisation de Specops Breached Password Protection dans votre environnement permet de renforcer la posture de cybersécurité de votre organisation contre les gangs de ransomware et le risque croissant de ce type d’attaque. Consultez notre site pour en savoir plus sur Specops Password Policy et voir comment vous pouvez renforcer la protection des mots de passe Active Directory dans votre environnement.