Kaspersky examine le mode de fonctionnement des huit groupes de ransomware les plus actifs

L'équipe de Renseignement sur les menaces de Kaspersky analyse les tactiques, techniques et procédures (TTP) les plus courantes utilisées par les 8 groupes de ransomware les plus actifs, tels que Conti et Lockbit2.0, lors de leurs attaques. L'étude révèle que les différents groupes partagent plus de la moitié de ce que l'on appelle la "cyberchaîne fatale" et exécutent les principales étapes des attaques de manière identique. Cette étude sur les ransomwares aidera à comprendre comment ces groupes opèrent et comment se défendre contre leurs attaques.

L'analyse porte sur l'activité de Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte et BlackCat. Ces groupes ont opéré principalement aux États-Unis, en Grande-Bretagne et en Allemagne, et ont ciblé plus de 500 organisations dans des secteurs axés sur la fabrication, le développement de logiciels et les petites entreprises entre mars 2021 et mars 2022.

Sur 150 pages, ce guide pratique explique les étapes du déploiement d'un ransomware, la façon dont les cybercriminels utilisent leurs outils préférés ou les cibles qu'ils espèrent atteindre. Il comprend également des conseils sur la manière de se défendre contre les attaques ciblées de ransomware et les règles de détection de SIGMA, qui peuvent être utilisées pour élaborer des mesures préventives contre les attaquants.

L'équipe de Renseignement sur les menaces de Kaspersky a analysé la manière dont les groupes de ransomwares ont utilisé les techniques et tactiques décrites dans le rapport MITRE ATT&CK et a constaté de nombreuses similitudes entre leurs TTP tout au long de la chaîne de destruction cybernétique. Les formes d'attaque se sont révélées assez prévisibles, les ransomwares suivant un schéma qui comprend le ciblage du réseau d'entreprise ou de l'ordinateur de la victime, la diffusion du malware, la découverte ultérieure, l'accès aux informations d'identification, la suppression des sauvegardes et enfin la réalisation de ses objectifs.

Les analystes expliquent également la similitude entre les attaques :

• L'émergence d'un phénomène appelé "Ransomware-as-a-Service" (RaaS), où les groupes de ransomware ne délivrent pas eux-mêmes le logiciel malveillant, mais fournissent uniquement les services de cryptage des données. Ceux qui envoient les fichiers malveillants s'épargnent du "travail" en utilisant des méthodes de livraison de modèles ou des outils d'automatisation pour obtenir l'accès.
• La réutilisation d'outils anciens et similaires facilite la vie des attaquants et réduit le temps de préparation d'une attaque.
• La réutilisation de TTP communs facilite le piratage. S'il est possible de détecter ces techniques, il est beaucoup plus difficile de le faire de manière préventive pour tous les vecteurs de menace possibles.
• L'installation lente des mises à jour et des correctifs chez les victimes.

La systématisation des différentes TTP utilisées par les attaquants a conduit à la formation d'un ensemble général de règles SIGMA selon MITRE ATT&CK qui permet de prévenir ces attaques.

"Ces dernières années, les ransomwares sont devenus un cauchemar pour l'ensemble du secteur de la cybersécurité, avec des développements et des améliorations constants de la part des opérateurs de ransomwares. Les spécialistes de la cybersécurité trouvent qu'il est difficile et long d'étudier chaque groupe de ransomware et de suivre les activités et les évolutions de chacun d'entre eux, pour tenter de gagner la course entre les attaquants et les défenseurs. Nous suivons l'activité de plusieurs groupes de ransomware depuis longtemps, et ce rapport représente les résultats d'une énorme quantité d'analyses. Il est destiné à servir de guide aux professionnels de la cybersécurité travaillant dans tous types d'organisations, afin de faciliter leur travail", explique Nikita Nazarov, chef de l'équipe de Renseignement sur les menaces de Kaspersky.

Ce rapport s'adresse aux analystes SOC, aux équipes de détection des menaces, aux analystes du renseignement sur les cybermenaces, aux spécialistes en criminalistique numérique et aux experts en cybersécurité qui participent au processus de réponse aux incidents et/ou à ceux qui veulent protéger l'environnement dont ils sont responsables contre les attaques ciblées de ransomware.

Pour que les entreprises se protègent de ces attaques par ransomware, Kaspersky recommande :

• N'exposez pas les services de bureau à distance (tels que RDP) aux réseaux publics, sauf en cas de nécessité absolue, et utilisez toujours des mots de passe forts pour ces services.
• Installez rapidement les correctifs disponibles pour les solutions VPN commerciales qui fournissent un accès aux employés distants et servent de passerelles vers le réseau.
• Maintenez toujours les logiciels à jour sur tous les appareils pour empêcher les ransomwares d'exploiter les vulnérabilités.
• Concentrez la stratégie de défense sur la détection des mouvements latéraux et l'exfiltration des données vers l'Internet, et accordez une attention particulière au trafic sortant pour détecter les connexions cybercriminelles.
• Sauvegardez régulièrement les données et veillez à ce qu'elles soient accessibles rapidement en cas d'urgence.
• Utilisez des solutions qui permettent d'identifier et d'arrêter l'attaque dès les premiers stades, avant que les cybercriminels n'atteignent leurs cibles ultimes.
• Former les employés à la protection de l'environnement de l'entreprise.
• Utilisez une solution de sécurité fiable pour les points d'extrémité.
• Utilisez les dernières informations en matière de renseignements sur les menaces pour rester au fait des TTP utilisés par les acteurs de la menace.