{"id":16824,"date":"2021-04-22T13:48:59","date_gmt":"2021-04-22T11:48:59","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16824"},"modified":"2022-05-05T13:44:17","modified_gmt":"2022-05-05T11:44:17","slug":"top5-ransomware-groups","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/top5-ransomware-groups\/16824\/","title":{"rendered":"Top 5 des groupes de ransomwares"},"content":{"rendered":"

Au cours de ces cinq derni\u00e8res ann\u00e9es, les ransomwares ont bien \u00e9volu\u00e9<\/a> : d\u2019une menace qui ne ciblait que les ordinateurs de particuliers, ils repr\u00e9sentent d\u00e9sormais un vrai danger pour les r\u00e9seaux des entreprises. Les cybercriminels ont cess\u00e9 d\u2019essayer d\u2019infecter le plus d\u2019ordinateurs possibles et ciblent d\u00e9sormais des victimes importantes. Les attaques contre les organisations commerciales et les organismes gouvernementaux requi\u00e8rent une planification minutieuse mais peuvent rapporter des dizaines de millions de dollars.<\/p>\n

Les groupes de ransomwares exploitent les moyens financiers des entreprises, qui ont tendance \u00e0 \u00eatre plus importants que ceux des utilisateurs lambdas. De plus, de nombreux groupes r\u00e9cents de ransomwares volent les donn\u00e9es avant de les chiffrer et menacent de les publier\u00a0; il s\u2019agit-l\u00e0 d\u2019une pression suppl\u00e9mentaire sur les victimes. Pour les entreprises touch\u00e9es, les risques sont nombreux : les cybercriminels peuvent nuire \u00e0 leur r\u00e9putation, cr\u00e9er des probl\u00e8mes avec les actionnaires ou bien faire en sorte qu\u2019elles re\u00e7oivent des amendes de la part des autorit\u00e9s r\u00e9glementaires, qui sont souvent plus cons\u00e9quentes que la ran\u00e7on.<\/p>\n

Selon nos donn\u00e9es, 2016 \u00e9tait une ann\u00e9e d\u00e9cisive. En quelques mois \u00e0 peine, le nombre d\u2019attaques par ransomware sur les organismes a tripl\u00e9<\/a>. Tandis qu\u2019en janvier 2016 nous avions enregistr\u00e9 un incident toutes les deux minutes en moyenne, fin septembre, l\u2019intervalle de temps entre les attaques avaient baiss\u00e9 jusqu\u2019\u00e0 40 secondes.<\/p>\n

Depuis 2019, les experts examinent r\u00e9guli\u00e8rement les campagnes cibl\u00e9es \u00e0 partir d\u2019une s\u00e9rie de ransomwares de type chasse au gros gibier. Les sites personnels des op\u00e9rateurs des malwares affichent les statistiques concernant les attaques. Nous avons utilis\u00e9 ces donn\u00e9es afin de faire un classement des groupes de cybercriminels les plus actifs.<\/p>\n\n

1. Maze (alias le ransomware ChaCha)<\/h2>\n

Le ransomware Maze, d\u00e9tect\u00e9 \u00e0 l\u2019origine en 2019<\/a>, est rapidement devenu l\u2019un des plus importants. En prenant en compte le nombre total de victimes, ce ransomware repr\u00e9sentait le tiers des attaques qui avaient eu lieu cette ann\u00e9e-l\u00e0. Le groupe derri\u00e8re ce ransomware a \u00e9t\u00e9 l\u2019un des premiers \u00e0 voler les donn\u00e9es<\/a> avant de les chiffrer. Si la victime refusait de payer la ran\u00e7on, les cybercriminels la mena\u00e7aient de publier les fichiers vol\u00e9s. La technique s\u2019est av\u00e9r\u00e9e efficace et a \u00e9t\u00e9 utilis\u00e9e par la suite dans de nombreuses attaques par ransomware, dont REvil et DoppelPaymer desquels nous parlerons ci-dessous.<\/p>\n

L\u2019autre nouveaut\u00e9, c\u2019est que les cybercriminels ont commenc\u00e9 \u00e0 annoncer leurs attaques aux m\u00e9dias. Fin 2019, Maze a parl\u00e9 \u00e0 Bleeping Computer de son piratage de l\u2019entreprise Allied Universal<\/a>, et l\u2019a prouv\u00e9 en envoyant quelques fichiers qu\u2019il avait vol\u00e9s. Dans les conversations par mails avec les \u00e9diteurs du site, le groupe a menac\u00e9 d\u2019envoyer des spams provenant des serveurs d\u2019Allied Universal, et a par la suite publi\u00e9 les donn\u00e9es confidentielles de l\u2019entreprise vol\u00e9es sur le forum de Bleeping Computer.<\/p>\n

Les attaques du groupe Maze se sont poursuivies jusqu\u2019en septembre 2020, lorsque le groupe a commenc\u00e9 \u00e0 mettre fin \u00e0 ses activit\u00e9s<\/a>, mais seulement apr\u00e8s s\u2019en \u00eatre pris \u00e0 plusieurs entreprises internationales dont une banque d\u2019\u00c9tat en Am\u00e9rique du Sud ainsi qu\u2019un syst\u00e8me d\u2019informations d\u2019une ville am\u00e9ricaine. Pour chacune de ces attaques, les op\u00e9rateurs de Maze ont exig\u00e9 plusieurs millions de dollars de la part des victimes.<\/p>\n

2. Conti (alias le ransomware IOCP)<\/h2>\n

Conti a fait son apparition fin 2019 et a \u00e9t\u00e9 tr\u00e8s actif en 2020, repr\u00e9sentant 13 % des victimes de ransomwares pendant cette p\u00e9riode. Ses cr\u00e9ateurs sont toujours actifs.<\/p>\n

Ce qui est int\u00e9ressant avec les attaques de Conti, c\u2019est que les cybercriminels proposent leur aide aux entreprises cibl\u00e9es en \u00e9change d\u2019un paiement, en disant<\/a> : \u00ab\u00a0Nous vous donnerons des instructions pour r\u00e9parer la faille de s\u00e9curit\u00e9 et \u00e9viter de tels probl\u00e8mes \u00e0 l\u2019avenir ; nous vous recommanderons \u00e9galement des logiciels sp\u00e9cialis\u00e9s dont les hackers ne sont pas fans\u00a0\u00bb.<\/p>\n

Tout comme avec Maze, le ransomware non seulement chiffre les donn\u00e9es, mais envoie aussi aux op\u00e9rateurs du ransomware des copies des fichiers qu\u2019ils ont pirat\u00e9s. Les cybercriminels menacent ensuite les victimes de publier ces informations en ligne si elles ne c\u00e8dent pas \u00e0 leurs demandes. Le piratage d\u2019une \u00e9cole aux \u00c9tats-Unis<\/a> a \u00e9t\u00e9 l\u2019une des attaques les plus m\u00e9diatis\u00e9es avec une demande de ran\u00e7on de 40 millions de dollars. L\u2019administration avait d\u00e9clar\u00e9 \u00eatre pr\u00eate \u00e0 payer 500\u00a0000 dollars, mais qu\u2019elle ne n\u00e9gocierait pas 80 fois ce montant.<\/p>\n\n

3. REvil (alias Sodin, le ransomware Sodinokibi)<\/h2>\n

Les premi\u00e8res attaques du groupe REvil ont \u00e9t\u00e9 d\u00e9tect\u00e9es d\u00e9but 2019 en Asie. Le malware a tr\u00e8s vite attir\u00e9 l\u2019int\u00e9r\u00eat<\/a> des experts gr\u00e2ce \u00e0 ses prouesses techniques, comme le fait qu\u2019il utilise les fonctions d\u2019une unit\u00e9 centrale de traitement (CPU) pour contourner les syst\u00e8mes de s\u00e9curit\u00e9. De plus, son code ressemblait \u00e0 un code qui aurait \u00e9t\u00e9 cr\u00e9\u00e9 pour le louer.<\/p>\n

Au total, les victimes de REvil repr\u00e9sentent 11 %. Ce logiciel malveillant a touch\u00e9 presque 20 secteurs d\u2019activit\u00e9. Celui qui a eu le plus de victimes est le domaine de l\u2019ing\u00e9nierie et de la fabrication (30 %), suivi par celui de la finance (14 %), celui des services destin\u00e9s aux entreprises et aux particuliers (9 %), ainsi que le secteur informatique et des t\u00e9l\u00e9communications (7 %). Cette derni\u00e8re cat\u00e9gorie repr\u00e9sentait l\u2019une des attaques les plus importantes en 2019 lorsque les cybercriminels ont pirat\u00e9<\/a> plusieurs prestataires de services informatiques et qu\u2019ils ont distribu\u00e9 Sodinokibi \u00e0 leurs clients.<\/p>\n

Le groupe d\u00e9tient le record de la plus grande ran\u00e7on jamais demand\u00e9e<\/a>, s\u2019\u00e9levant \u00e0 50 millions de dollars et demand\u00e9e \u00e0 Acer en mars 2021.<\/p>\n

4. Netwalker (alias le ransomware Mailto)<\/h2>\n

En prenant en compte le nombre total de victimes, Netwalker repr\u00e9sente plus de 10 %. Ses cibles sont les g\u00e9ants de la logistique, les groupes industriels, les groupes \u00e9nerg\u00e9tiques et les autres grands organismes. En 2020, en l\u2019espace de seulement quelques mois, les cybercriminels ont re\u00e7u plus de 25 millions de dollars<\/a>.<\/p>\n

Ses cr\u00e9ateurs semblent \u00eatre bien d\u00e9termin\u00e9s \u00e0 le faire conna\u00eetre<\/a>. Ils ont propos\u00e9 de le louer \u00e0 des escrocs isol\u00e9s en \u00e9change d\u2019une part des recettes de leurs attaques. Selon Bleeping Computer, la part du distributeur du malware pourrait atteindre les 70 %<\/a>\u00a0 de la ran\u00e7on, m\u00eame si ce genre de partenariat paie g\u00e9n\u00e9ralement beaucoup moins les affili\u00e9s.<\/p>\n

Comme preuve de leurs intentions, les cybercriminels ont publi\u00e9 des captures d\u2019\u00e9cran d\u2019une somme importante de transfert d\u2019argent. Pour faciliter le plus possible ce syst\u00e8me de location, ils ont mis en place un site Web qui publie automatiquement les donn\u00e9es vol\u00e9es quand la date limite est d\u00e9pass\u00e9e.<\/p>\n

En janvier 2021, la police a saisi<\/a> les ressources du Dark Web de Netwalker et a accus\u00e9 Sebastien Vachon-Desjardins, un citoyen canadien, d\u2019avoir obtenu plus de 27,6 millions de dollars gr\u00e2ce \u00e0 ces extorsions. Ce dernier \u00e9tait charg\u00e9 de trouver les victimes, de pirater leur syst\u00e8me puis de d\u00e9ployer Netwalker. L\u2019op\u00e9ration men\u00e9e par les forces de l\u2019ordre a an\u00e9anti Netwalker.<\/p>\n

5. Le ransomware DoppelPaymer<\/h2>\n

Le dernier m\u00e9chant de notre liste est DoppelPaymer, un ransomware qui repr\u00e9sente environ 9 % du nombre total de victimes. Ses cr\u00e9ateurs ont \u00e9galement laiss\u00e9 leur marque avec d\u2019autres malwares, dont le cheval de Troie bancaire Dridex et le ransomware BitPaymer (alias FriedEx), aujourd\u2019hui disparu. Ce dernier est consid\u00e9r\u00e9 comme la version ant\u00e9rieure de DoppelPaymer<\/a>. De ce fait, le nombre total de victimes de ce groupe est bien plus important.<\/p>\n

Parmi les organisations commerciales touch\u00e9es<\/a> par DoppelPaymer, on trouve les fabricants de mat\u00e9riel \u00e9lectronique et les constructeurs automobiles, ainsi qu\u2019une grande compagnie p\u00e9troli\u00e8re latino-am\u00e9ricaine. DoppelPaymer cible g\u00e9n\u00e9ralement les organismes gouvernementaux internationaux<\/a> dont les \u00e9tablissements de la sant\u00e9, les urgences et les services d\u2019enseignement. Ce dernier a \u00e9galement fait les gros titres apr\u00e8s avoir publi\u00e9 des informations concernant les \u00e9lecteurs<\/a> du comt\u00e9 de Hall de l\u2019\u00c9tat de G\u00e9orgie et pour avoir re\u00e7u<\/a>\u00a0 une somme de 500\u00a0000 dollars de la part du comt\u00e9 de Delaware, en Pennsylvanie (tous deux aux \u00c9tats-Unis). Les attaques de DoppelPaymer continuent encore aujourd\u2019hui : en f\u00e9vrier de cette ann\u00e9e, un organisme de recherche europ\u00e9en a annonc\u00e9<\/a>\u00a0 avoir \u00e9t\u00e9 attaqu\u00e9.<\/p>\n\n

Comment fonctionnent les attaques cibl\u00e9es<\/h2>\n

Chaque attaque cibl\u00e9e sur une grande entreprise est le r\u00e9sultat d\u2019un long processus, afin de trouver des vuln\u00e9rabilit\u00e9s dans l\u2019infrastructure, d\u2019\u00e9laborer un sc\u00e9nario et de choisir les outils. Les cybercriminels p\u00e9n\u00e8trent ensuite dans le r\u00e9seau et d\u00e9ploient le logiciel malveillant \u00e0 travers le r\u00e9seau de l\u2019entreprise. Les cybercriminels restent parfois \u00e0 l\u2019int\u00e9rieur de ce dernier pendant plusieurs mois avant de chiffrer les fichiers et de demander la ran\u00e7on.<\/p>\n

Les seuls moyens possibles pour p\u00e9n\u00e9trer dans l\u2019infrastructure sont via\u00a0:<\/p>\n