Alors que les ransomwares ciblés continuent de menacer les entreprises du monde entier, il est tentant de s’intéresser de plus près aux opérations de certains gangs. L’objectif : mieux comprendre leur mode de fonctionnement et élaborer des systèmes de défense plus avancés pour les contrer. Les chercheurs Kaspersky ont ainsi examiné un curieux spécimen (ou plutôt, plusieurs spécimens) issus de la famille JSWorm, qui a démontré de grandes capacités d’adaptation dans l’optimisation de sa panoplie d’outils. Autrefois adepte des opérations à grande échelle, ce gang a su rapidement adapter sa stratégie pour devenir, en l’espace de deux ans, un acteur spécialisé dans les attaques ciblées, pilotant un malware décliné en plus de huit versions différentes.
Chaque variant peut se distinguer du malware originel par certains aspects du code, son extension de fichier, son système cryptographique ou encore sa clé de chiffrage. En plus d’avoir rebaptisé le ransomware de base, ses développeurs ont retravaillé le code et expérimenté différentes approches en matière de diffusion, preuve de leur grande capacité d’adaptation et de l’ampleur des ressources dont ils disposent.
Principales versions du ransomware créé par les développeurs de JSWorm
JSWorm a été détecté dans le monde entier, de l’Amérique (Brésil, Argentine, États-Unis) au Moyen-Orient (Turquie, Iran) en passant par l’Afrique (Afrique du Sud), l’Europe (Italie, France, Allemagne) et la zone Asie-Pacifique (Vietnam). Plus d’un tiers (39 %) des entreprises et individus ciblés en 2020 provenaient de cette dernière région.
Concernant les industries prises pour cibles, il apparaît clair que cette famille de ransomwares s’attaque en priorité aux infrastructures critiques et aux grands secteurs d’activité. Près de la moitié (41 %) des attaques JSWorm étaient dirigées contre des entreprises du secteur industriel. Les secteurs de l’énergie et des services publics essentiels (10 %), de la finance (10 %), des services aux particuliers et aux professionnels (10 %), des transports (7 %) et de la santé (7 %) font également partie de leurs cibles privilégiées.
« Les opérations de JSWorm et sa capacité à adapter et développer de nouveaux malwares aussi rapidement reflètent une tendance importante et préoccupante : les gangs qui opèrent les ransomwares ont énormément de ressources à disposition et sont capables de changer de stratégie et d’améliorer leurs outils très rapidement, plaçant toujours plus d’entreprises dans leur collimateur. Cette capacité d’adaptation est généralement l’apanage des groupes APT, mais les opérateurs de ransomwares ne se limitent pas à des cibles spécifiques. Ils n’hésiteront pas à infecter n’importe quelle entreprise s'ils en ont la possibilité. Cela prouve que pour bien protéger une organisation, les équipes de cybersécurité doivent se montrer encore plus rapides, réactives et flexibles dans la mise en place de mesures de protection » commente Fedor Sinitsyn, chercheur en cybersécurité chez Kaspersky.
Pour consulter l’intégralité du rapport sur les différentes versions de JSWorm, rendez-vous sur Securelist. Pour en savoir plus sur l’écosystème des ransomwares, consultez le rapport Ransomware world in 2021: who, how and why .
Pour se protéger face à JSWorm et d’autres types de ransomwares, Kaspersky invite à suivre les recommandations suivantes :
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr.