Ransomware : ces deux gangs sont à l’origine de la moitié des attaques

Plus de la moitié de toutes les attaques de rançongiciels signalées au cours des trois premiers mois de cette année sont l’œuvre de seulement deux groupes de cybercriminels.

Selon l’analyse des enregistrements attaques de rançongiciels entre janvier et mars 2022 par des chercheurs en cybersécurité de Ombres numériques, LockBit 2.0 et Conti étaient les deux gangs de rançongiciels les plus actifs au cours de la période de référence de trois mois, représentant 58 % de tous les incidents.

Et des deux, LockBit est de loin le plus prolifique, représentant 38 % des attaques de ransomwares. C’est presque le double du nombre d’attaques enregistrées par le groupe de rançongiciels Conti, qui représentait 20 % des campagnes au cours de la même période.

Les deux groupes volent les données de leurs victimes et menacent de publiez-le sur des sites de fuite si la rançon n’est pas payée. Selon Digital Shadows, LockBit a divulgué les informations de plus de 200 victimes au cours du premier trimestre de l’année – le plus de fuites à ce jour.

Alors que ces deux gangs étaient les plus actifs, d’autres menaces comprenaient Rançongiciel Hive, Logiciel de rançon Vice Society et Logiciel de rançon Blackbyteentre autres.

VOIR: Cybersécurité : passons au tactique (rapport spécial ZDNet)

Le rançongiciel Conti est resté une menace majeure, malgré les Conti Leaks de février, qui a révélé beaucoup de choses sur le fonctionnement interne du groupe de rançongiciels. Les journaux de discussion internes et d’autres informations ont été divulgués après que Conti a publié publiquement un message de soutien à l’invasion de l’Ukraine par la Russie. Mais ce revers ne semble pas avoir dissuadé les derrière Conti, qui continuent de mener des attaques de rançongiciels.

“Bien que la fuite de chat Conti est susceptible d’avoir un impact sur le groupe, il est peu probable que cela affecte de manière significative la part de marché du groupe. Conti n’a montré aucun signe de ralentissement depuis les journaux de chat et la fuite de code source”, Ivan Righi, a déclaré à ZDNet un analyste principal du renseignement sur les cybermenaces chez Digital Shadows.

“Cependant, la fuite porte un coup à la réputation du groupe, et pourrait donc affecter sa capacité à attirer de nouveaux affiliés et avoir un impact à long terme sur sa capacité à se développer”, a-t-il ajouté.

Un groupe de rançongiciels semble avoir disparu. Les chercheurs notent que Logiciel de rançon PYSA, qui était le troisième groupe de ransomwares le plus actif au cours des trois derniers mois de 2021, semble avoir disparu du radar. Un autre groupe de rançongiciels auparavant prolifique, Revil, semble également avoir cessé de fonctionner.

Mais alors que certains groupes de ransomwares semblent disparaître, d’autres nouvelles menaces de ransomwares continuent d’apparaître. Certains nouveaux groupes de rançongiciels apparus depuis janvier 2022 et répertoriés par Digital Shadows incluent Stormous, Night Sky, Zeon, Pandora, Sugar et x001xs. Il est probable que les individus impliqués dans des groupes qui ferment trouvent simplement un nouveau travail avec d’autres gangs de rançongiciels.

“De nouveaux groupes de rançongiciels sont créés à un rythme similaire à celui des groupes fermés. Cela est probablement dû au fait que les affiliés passent fréquemment de groupes qui ne sont plus actifs à ceux qui émergent”, a déclaré Righi.

“Indépendamment des facteurs externes et des changements de ciblage, les ransomwares resteront probablement l’une des plus grandes menaces pour les organisations du monde entier au cours du prochain trimestre”, a-t-il ajouté.

Les entreprises peuvent prendre plusieurs mesures pour éviter d’être victimes d’un ransomware. Ceux-ci inclus appliquer les correctifs de sécurité aux logiciels et aux systèmes d’exploitation le plus rapidement possibleafin que les cybercriminels ne puissent pas exploiter les vulnérabilités connues pour entrer et exploiter les réseaux.

Les organisations doivent également déployer l’authentification multifacteur à tous les utilisateurs pour fournir une barrière supplémentaire aux attaques et s’il est suspecté qu’un mot de passe a été piraté, il doit être changé immédiatement.

EN SAVOIR PLUS SUR LA CYBERSÉCURITÉ

Leave a Comment