Les 8 salopards : Kaspersky publie un guide pratique des techniques des principaux groupes de ransomware
L'équipe de renseignement sur les menaces (threat intelligence) de Kaspersky a analysé les tactiques, techniques et procédures (TTP) les plus courantes utilisées par les huit groupes de ransomware les plus prolifiques, tels que Conti et Lockbit2.0, lors de leurs attaques.
Ce guide de 150 pages accompagne les lecteurs à travers les étapes du déploiement des ransomwares, la manière dont les cybercriminels utilisent leurs outils préférés et les objectifs qu'ils espèrent atteindre. Les lecteurs peuvent également apprendre à se défendre contre les attaques ciblées de ransomware et découvrir les règles de détection SIGMA, qui peuvent être utilisées pour renforcer leurs mesures préventives contre les attaquants.
L'équipe Threat Intelligence de Kaspersky a analysé la façon dont les groupes de ransomware ont utilisé les techniques et les tactiques décrites dans le rapport MITRE ATT&CK et a constaté de nombreuses similitudes entre leurs TTP tout au long de la chaîne de destruction cybernétique. Les modes d'attaque révélés par les groupes se sont avérés assez prévisibles : des attaques de ransomware suivant un schéma qui inclut le réseau d'entreprise ou l'ordinateur de la victime, la diffusion du malware, une découverte plus approfondie, l'accès aux informations d'identification, la suppression des copies masquées, la suppression des sauvegardes et, enfin, la réalisation de leurs objectifs.
Les chercheurs expliquent également d'où vient la similitude entre les attaques :
● L'émergence d'un phénomène appelé "Ransomware-as-a-Service" (RaaS), où les groupes de ransomware ne délivrent pas eux-mêmes les logiciels malveillants, mais fournissent uniquement les services de chiffrement des données. Comme les personnes qui diffusent les fichiers malveillants veulent aussi se simplifier la vie, elles utilisent des méthodes de diffusion types ou des outils d'automatisation pour obtenir un accès.
● La réutilisation d'outils anciens et similaires facilite la vie des attaquants et réduit le temps nécessaire à la préparation d'une attaque.
● La réutilisation de TTP communs facilite le piratage. Bien qu'il soit possible de détecter ces techniques, il est beaucoup plus difficile de le faire de manière préventive sur tous les vecteurs de menace possibles.
● L'installation lente des mises à jour et des correctifs chez les victimes. Il arrive souvent que ceux qui sont vulnérables soient attaqués.
La systématisation des différents TTP utilisés par les attaquants a conduit à la formation d'un ensemble général de règles SIGMA, conformément à MITRE ATT&CK - ce qui permet de prévenir ces attaques.
"Au cours des dernières années, les ransomwares sont devenus un cauchemar pour l'ensemble du secteur de la cybersécurité, avec des développements et des améliorations constants de la part des opérateurs de ransomwares. Il est long et souvent difficile pour les spécialistes de la cybersécurité d'étudier chaque groupe de ransomware et de suivre les activités et les développements de chacun d'entre eux, dans l'espoir de gagner la course entre les attaquants et les défenseurs. Nous suivons l'activité des différents groupes de ransomware depuis longtemps, et ce rapport est le fruit d'un énorme travail d'analyse. Son objectif est de servir de guide aux professionnels de la cybersécurité travaillant dans toutes sortes d'organisations, afin de leur faciliter la tâche", commente Nikita Nazarov, de l’équipe Threat Intelligence de Kaspersky.
Ce rapport s'adresse aux analystes SOC, aux équipes chargées de traquer les menaces, aux analystes de renseignement sur les menaces, aux spécialistes de la criminalistique numérique et aux spécialistes de la cybersécurité impliqués dans le processus de réponse aux incidents et/ou à ceux qui veulent protéger l'environnement dont ils sont responsables contre les attaques ciblées de ransomware.
Pour en savoir plus, les experts en sécurité de Kaspersky feront la lumière sur les TTP communes des groupes de ransomware modernes et les moyens de prévenir les attaques, lors d'un webinaire le 23 juin à 17h. Inscrivez-vous gratuitement ici.
La version publique du rapport sur les tactiques de lutte contre les ransomwares peut être téléchargée sur Securelist.com.
Pour vous protéger et protéger votre entreprise contre les attaques de ransomware, pensez à suivre les règles proposées par Kaspersky :
● N'exposez pas les services de bureau à distance (tels que RDP) aux réseaux publics, sauf en cas de nécessité absolue, et utilisez toujours des mots de passe forts pour ces services.
● Installez rapidement les correctifs disponibles pour les solutions VPN commerciales fournissant un accès aux employés distants et faisant office de passerelles dans votre réseau.
● Maintenez toujours les logiciels à jour sur tous les appareils que vous utilisez pour empêcher les ransomwares d'exploiter les vulnérabilités.
● Concentrez votre stratégie de défense sur la détection des mouvements latéraux et l'exfiltration de données vers Internet. Portez une attention particulière au trafic sortant pour détecter les connexions des cybercriminels.
● Sauvegardez régulièrement vos données. Assurez-vous de pouvoir y accéder rapidement, si nécessaire en cas d'urgence.
● Utilisez des solutions comme Kaspersky Endpoint Detection and Response Expert et Kaspersky Managed Detection and Response qui permettent d'identifier et de stopper l'attaque à un stade précoce, avant que les attaquants n'atteignent leurs objectifs finaux.
● Pour protéger l'environnement de l'entreprise, éduquez vos employés. Des formations dédiées peuvent être utiles, telles que celles proposées par la plateforme Kaspersky Automated Security Awareness.
● Utilisez une solution de sécurité des points d'extrémité fiable, telle que Kaspersky Endpoint Security for Business, qui offre une prévention des exploits, une détection des comportements et un moteur de remédiation capable d'annuler les actions malveillantes. KESB dispose également de mécanismes d'auto-défense qui peuvent empêcher sa suppression par les cybercriminels.
● Utilisez les dernières informations de Threat Intelligence pour rester au courant des TTP réels utilisés par les acteurs de la menace. Le portail Kaspersky Threat Intelligence est un point d'accès unique à la TI de Kaspersky, fournissant des données sur les cyberattaques et des informations recueillies par notre équipe depuis près de 25 ans. Afin d'aider les entreprises à mettre en place des défenses efficaces en ces temps de turbulence, Kaspersky a annoncé l'accès gratuit à des informations indépendantes, continuellement mises à jour et provenant du monde entier sur les cyberattaques et les menaces en cours. Demandez l'accès à cette offre ici.
La recherche a révélé que les différents groupes partagent plus de la moitié de la chaîne cybercriminelle et exécutent les principales étapes d'une attaque de manière identique. Cette étude monumentale des ransomwares modernes, disponible gratuitement, aidera à comprendre comment les groupes de ransomware opèrent et comment se défendre contre leurs attaques.
L'analyse contenue dans le guide se concentre sur l'activité de Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte et BlackCat. Ces groupes ont été actifs notamment aux États-Unis, en Grande-Bretagne et en Allemagne (mais avec des cas également en France), et ont ciblé plus de 500 organisations dans des secteurs tels que la production industrielle, le développement de logiciels et les petites entreprises, entre mars 2021 et mars 2022.
Les 8 salopards : Kaspersky publie un guide pratique des techniques des principaux groupes de ransomware
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >