Ignorer le contenu principal

Alors que les ransomwares ciblés continuent de menacer les entreprises du monde entier, il est tentant de s’intéresser de plus près aux opérations de certains gangs. L’objectif : mieux comprendre leur mode de fonctionnement et élaborer des systèmes de défense plus avancés pour les contrer. Les chercheurs Kaspersky ont ainsi examiné un curieux spécimen (ou plutôt, plusieurs spécimens) issus de la famille JSWorm, qui a démontré de grandes capacités d’adaptation dans l’optimisation de sa panoplie d’outils. Autrefois adepte des opérations à grande échelle, ce gang a su rapidement adapter sa stratégie pour devenir, en l’espace de deux ans, un acteur spécialisé dans les attaques ciblées, pilotant un malware décliné en plus de huit versions différentes.

Chaque variant peut se distinguer du malware originel par certains aspects du code, son extension de fichier, son système cryptographique ou encore sa clé de chiffrage. En plus d’avoir rebaptisé le ransomware de base, ses développeurs ont retravaillé le code et expérimenté différentes approches en matière de diffusion, preuve de leur grande capacité d’adaptation et de l’ampleur des ressources dont ils disposent.

from-mass-scale-campaigns-to-big-game-hunting-how-jsworm-ransomware-reinvented-itself-in-just-two-years.jpg

Principales versions du ransomware créé par les développeurs de JSWorm

JSWorm a été détecté dans le monde entier, de l’Amérique (Brésil, Argentine, États-Unis) au Moyen-Orient (Turquie, Iran) en passant par l’Afrique (Afrique du Sud), l’Europe (Italie, France, Allemagne) et la zone Asie-Pacifique (Vietnam). Plus d’un tiers (39 %) des entreprises et individus ciblés en 2020 provenaient de cette dernière région.

Concernant les industries prises pour cibles, il apparaît clair que cette famille de ransomwares s’attaque en priorité aux infrastructures critiques et aux grands secteurs d’activité. Près de la moitié (41 %) des attaques JSWorm étaient dirigées contre des entreprises du secteur industriel. Les secteurs de l’énergie et des services publics essentiels (10 %), de la finance (10 %), des services aux particuliers et aux professionnels (10 %), des transports (7 %) et de la santé (7 %) font également partie de leurs cibles privilégiées.

« Les opérations de JSWorm et sa capacité à adapter et développer de nouveaux malwares aussi rapidement reflètent une tendance importante et préoccupante : les gangs qui opèrent les ransomwares ont énormément de ressources à disposition et sont capables de changer de stratégie et d’améliorer leurs outils très rapidement, plaçant toujours plus d’entreprises dans leur collimateur. Cette capacité d’adaptation est généralement l’apanage des groupes APT, mais les opérateurs de ransomwares ne se limitent pas à des cibles spécifiques. Ils n’hésiteront pas à infecter n’importe quelle entreprise s'ils en ont la possibilité. Cela prouve que pour bien protéger une organisation, les équipes de cybersécurité doivent se montrer encore plus rapides, réactives et flexibles dans la mise en place de mesures de protection » commente Fedor Sinitsyn, chercheur en cybersécurité chez Kaspersky.

Pour consulter l’intégralité du rapport sur les différentes versions de JSWorm, rendez-vous sur Securelist. Pour en savoir plus sur l’écosystème des ransomwares, consultez le rapport Ransomware world in 2021: who, how and why .

Pour se protéger face à JSWorm et d’autres types de ransomwares, Kaspersky invite à suivre les recommandations suivantes :

  • Ne pas laisser des solutions de bureau à distance telles que le RDP en libre accès sur les réseaux publics, sauf nécessité absolue, et utiliser systématiquement des mots de passe robustes.
  • S'assurer que les solutions VPN commerciales et autres logiciels côté serveur sont à jour car ils offrent souvent une porte d’entrée aux ransomwares, et toujours maintenir les applications client à jour.
  • Concentrer sa stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration de données vers Internet. Surveiller tout particulièrement le trafic sortant pour détecter les connexions des cybercriminels. Sauvegarder ses données régulièrement et s’assurer de pouvoir rapidement y accéder en cas d’urgence. Consulter les toutes dernières données en matière de Threat Intelligence pour rester informé des outils, tactiques et procédures utilisés par les hackers.
  • Utiliser des solutions Kaspersky telles que Endpoint Detection and Response et Managed Detection and Response pour anticiper et bloquer les attaques avant que les pirates n’atteignent leurs objectifs.
  • Protéger l’environnement de l’entreprise et former ses collaborateurs, notamment grâce à des programmes de cours comme la plateforme en ligne de sensibilisation à la cybersécurité de Kaspersky (Kaspersky Automated Security Awareness).
  • Utiliser une solution de protection des terminaux éprouvée, comme Kaspersky Endpoint Security for Business, qui offre des fonctionnalités telles que la prévention des exploits, la détection des comportements anormaux et un moteur de correction pour neutraliser les tentatives malveillantes, ainsi qu’un mécanisme d’auto-défense qui empêche les cybercriminels de la désinstaller.

À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr.

Des campagnes de masse à la pêche au gros : comment le ransomware JSWorm s'est réinventé en seulement deux ans

Alors que les ransomwares ciblés continuent de menacer les entreprises du monde entier, il est tentant de s’intéresser de plus près aux opérations de certains gangs.
Kaspersky Logo