Le Federal Bureau of Investigation (FBI) des États-Unis a annoncé lundi la perturbation de l’infrastructure en ligne associée à un groupe de ransomware naissant appelé Dispossessor (alias Radar).
Cet effort a abouti au démantèlement de trois serveurs américains, de trois serveurs britanniques, de 18 serveurs allemands, de huit domaines criminels basés aux États-Unis et d’un domaine criminel basé en Allemagne. Le dépossédant serait dirigé par des individus qui portent le surnom en ligne de « Cerveau ».
« Depuis sa création en août 2023, Radar/Dispossessor s’est rapidement développé pour devenir un groupe de ransomwares d’impact international, ciblant et attaquant les petites et moyennes entreprises et organisations des secteurs de la production, du développement, de l’éducation, de la santé, des services financiers et des transports. “, a déclaré le FBI dans un communiqué.
Pas moins de 43 entreprises ont été identifiées comme victimes d’attaques de dépossessor, notamment celles situées en Argentine, en Australie, en Belgique, au Brésil, au Canada, en Croatie, en Allemagne, au Honduras, en Inde, au Pérou, en Pologne, aux Émirats arabes unis, au Royaume-Uni et aux États-Unis.
Dispossessor est apparu pour la première fois en août 2023 en tant que groupe de ransomware-as-a-service (RaaS) suivant le même modèle de double extorsion mis au point par d’autres gangs de cybercriminalité. De telles attaques fonctionnent en exfiltrant les données des victimes pour les conserver contre rançon, en plus de chiffrer leurs systèmes. Les utilisateurs qui refusent de s’installer sont menacés d’exposition de leurs données.
Il a été observé que les chaînes d’attaque montées par les acteurs de la menace exploitent les systèmes présentant des failles de sécurité ou des mots de passe faibles comme point d’entrée pour violer les cibles et obtenir un accès élevé pour verrouiller leurs données derrière des barrières de chiffrement.
“Une fois l’entreprise attaquée, s’ils ne contactaient pas l’acteur criminel, le groupe contactait alors de manière proactive d’autres membres de l’entreprise victime, soit par courrier électronique, soit par appel téléphonique”, a déclaré le FBI.
“Les courriels contenaient également des liens vers des plateformes vidéo sur lesquelles les fichiers précédemment volés avaient été présentés. Cela avait toujours pour but d’augmenter la pression du chantage et d’accroître la volonté de payer.”
Un rapport précédent de la société de cybersécurité SentinelOne avait révélé que le groupe Dispossessor faisait de la publicité pour le téléchargement et la vente de données déjà divulguées, ajoutant qu’il “semble republier des données précédemment associées à d’autres opérations avec des exemples allant de Cl0p, Hunters International et 8Base”.
La fréquence de ces suppressions est une autre indication que les forces de l’ordre du monde entier intensifient leurs efforts pour lutter contre la menace persistante des ransomwares, alors même que les auteurs de la menace trouvent des moyens d’innover et de prospérer dans un paysage en constante évolution.
Cela inclut une légère augmentation des attaques menées par l’intermédiaire de sous-traitants et de prestataires de services, soulignant la manière dont les acteurs de la menace exploitent les relations de confiance à leur avantage, car « cette approche facilite les attaques à grande échelle avec moins d’efforts, passant souvent inaperçues jusqu’à ce que des fuites de données ou des données chiffrées soient découvertes. “.
Les données recueillies par l’unité 42 de Palo Alto Networks sur les sites de fuite montrent que les secteurs les plus touchés par les ransomwares au cours du premier semestre 2024 étaient l’industrie manufacturière (16,4 %), la santé (9,6 %) et la construction (9,4 %).
Certains des pays les plus ciblés au cours de cette période étaient les États-Unis, le Canada, le Royaume-Uni, l’Allemagne, l’Italie, la France, l’Espagne, le Brésil, l’Australie et la Belgique.
“Les vulnérabilités récemment révélées ont principalement motivé l’activité des ransomwares, les attaquants s’efforçant d’exploiter rapidement ces opportunités”, a déclaré la société. « Les acteurs malveillants ciblent régulièrement les vulnérabilités pour accéder aux réseaux des victimes, élever leurs privilèges et se déplacer latéralement à travers les environnements piratés. »
Une tendance notable est l’émergence de nouveaux groupes de ransomwares (ou remaniés), qui représentaient 21 des 68 groupes uniques publiant des tentatives d’extorsion, et le ciblage accru des petites organisations, selon Rapid7.
“Cela pourrait être dû à de nombreuses raisons, la moindre n’étant pas que ces petites organisations contiennent bon nombre des mêmes acteurs de la menace de données, mais elles ont souvent mis en place des précautions de sécurité moins matures”, a-t-il déclaré.
Un autre aspect important est la professionnalisation des modèles économiques RaaS. Les groupes de ransomwares ne sont pas seulement plus sophistiqués, ils étendent également de plus en plus leurs opérations qui ressemblent à des entreprises légitimes.
“Ils ont leurs propres marchés, vendent leurs propres produits et, dans certains cas, bénéficient d’une assistance 24h/24 et 7j/7”, a souligné Rapid7. “Ils semblent également créer un écosystème de collaboration et de consolidation dans les types de ransomwares qu’ils déploient.”