Les chercheurs en sécurité chez Kasperky Lab et FireEye confirment que la tendance à la hausse des ransomware se poursuit et est devenu la menace la plus importante pour les entreprises.
Le dernier rapport de la société spécialisée dans la sécurité, Kaspersky Lab, révèle que le premier trimestre 2016 a vu un pic en termes d’utilisation des attaques par ransomware, et les chercheurs ont précisé que cela pourrait devenir le principal problème en 2016.
Selon Kaspersky Lab, la base de données de l’entreprise comprend environ 15000 modifications de ransomware, et le nombre ne cesse de croître.
Sur les 345900 attaques par ransomware bloquées au premier trimestre, la société de sécurité a déclaré que 17% ciblait le secteur des entreprises. Le nombre de nouveaux éléments de ransomware mobiles a augmenté pour atteindre 2895 cas, soit une hausse de 46% par rapport au trimestre précédent.
L’une des attaques les plus répandues au cours du premier trimestre de l’année a été Locky que Kaspersky Lab a détecté dans 114 pays.
Les 3 principales familles de ransomware étaient Teslacrypt (58%), CTB-Locker (24%) et CryptoWall (3%), qui se sont tous diffusés principalement par le biais des spams e-mails avec des pièces jointes malveillantes ou des liens vers des pages Web infectées.
«L’innovation technologique dans le ransomware »
Un ransomware appelé Petya était intéressant d’un point de vue technique, a déclaré le Kaspersky Lab.
Petya peut non seulement chiffrer les données stockées sur l’ordinateur, mais peut écraser le master boot record du disque dur (MBR), laissant les ordinateurs infectés incapables de démarrer le système d’exploitation (OS). Cela représente l’innovation technologique significative dans les ransomware, ont assuré les chercheurs.
«Une des raisons pour lesquelles le ransomware est devenu si populaire s’appuie sur la simplicité du modèle économique utilisé par les cyber-criminels», a déclaré Aleks Gostev, expert principal en sécurité au sein de l’équipe Global Research and Analysis de Kaspersky Lab.
« Une fois que le ransomware pénètre dans le système de l’utilisateur, il n’y a presque aucune chance de s’en débarrasser sans perdre de données personnelles. La demande de payer une rançon en bitcoins rend le processus de paiement anonyme et presque introuvable, ce qui est très attrayant pour les fraudeurs « , dit-il.
Menaces et tendances des ransomwares
Une autre raison concernant l’augmentation des attaques de ransomware, selon Kaspersky Lab, est que ceux qui sont visés par ces logiciels croient que la menace est imbattable.
«Les entreprises et les individus ne sont pas conscients des contre-mesures technologiques qui peuvent les aider à se prévenir de l’infection et des fichiers qui sont verrouillés. En ignorant les règles de base de la sécurité informatique, ils permettent aux cyber-criminels d’en tirer profit », a déclaré Aleks Gostev.
Une tendance menaçante, a déclaré Aleks Gostev, est le modèle économique de ransomware-as-a-service, où les cyber-criminels paient un forfait pour la propagation de logiciels malveillants ou promettent un pourcentage de la rançon payée par un utilisateur infecté, ce qui rend plus facile que jamais la réalisation de ce type d’attaque.
Les chercheurs de Kaspersky ont dit qu’il y a aussi des services qui fonctionnent dans l’autre sens, offrant un ensemble complet d’outils pour le crypteur qui prend la responsabilité de distribuer le cheval de Troie et prend 10% de la rançon à titre de commission.
Les chercheurs de Kaspersky ont également signalé des cas de groupes d’attaque chinois et d’autres bien connus en utilisant le ransomware.
« Si ces incidents deviennent une tendance, la menace se déplace vers un nouveau niveau, car les dommages causés par le ransomware ne sont pas très différents de ceux provoqués par les chevaux de Troie de type Wiper. Dans les deux cas, les données de l’utilisateur deviennent inaccessibles », assure le rapport de Kaspersky Lab.
Une autre tendance inquiétante, soulignent à nouveau les chercheurs, est que les chevaux de Troie de ransomware étendent leur sphère d’activité, avec Web CTB-Locker qui ciblent des serveurs Web.
La montée des ransomwares
Selon les données recueillies par FireEye, la spirale ascendante des ransomwares a commencé sont accélération au cours de la seconde moitié de 2015.
Le développement des familles avec de nouvelles méthodes d’anti-détection ou de chiffrement suggère que suffisamment de victimes paient toujours assez pour motiver les cyber-criminels, ce qui pour conséquence qu’ils améliorent constamment leur code malveillant, pour les chercheurs de FireEye.
FireEye a publié un rapport avancé sur les menaces régionales pour l’Europe, le Moyen-Orient et l’Afrique au cours de la deuxième moitié de 2015, selon les données du service Cloud Dynamic Threat Intelligence de FireEye.
Dans le rapport, FireEye assure que le ransomware continue de constituer une menace pour les organisations, et le cycle de développement des logiciels malveillants est si court que de nombreuses organisations continuent à se battre afin de se défendre contre des compromis (financiers)
Le Royaume-Uni est toujours très ciblé pour les attaques
Dans l’ensemble, le Royaume-Uni reste l’un des pays les plus ciblés en termes d’attaques avancées, précise le rapport.
Les industries les plus ciblées au sein du Royaume-Uni sont les services financiers (38%), l’éducation (15%) et l’énergie / services publics (14%), qui représentent plus des deux tiers de toutes les attaques observées en 2015.
Elles ont été suivies par l’aérospatiale et la défense (11%), les télécommunications (9%), le divertissement / médias / santé (6%) et le gouvernement (4%).
« En plus d’une hausse vertigineuse de la détection ransomware, au cours de la seconde moitié de 2015, nous avons découvert une forte augmentation des alertes dans presque toutes les industries du Royaume-Uni. Il est temps pour les organisations de comprendre leur ennemi », a déclaré Richard Turner, président régional de FireEye.
Cependant, le Royaume-Uni est passé de la place n°5 à la place 6 en 6 mois, niveau identique à Israël, la Belgique/Luxembourg et l’Allemagne, avec 9% de toutes les menaces ciblées détectées.
Changement du paysage des menaces
La Turquie a émergé comme le pays aux menaces ciblées les plus avancées et détectés au cours de la seconde moitié de 2015 avec une large marge, ce qui représente 27% des détections, malgré le fait de ne pas figurer par les 5 pays les plus attaqués au cours de la première moitié de 2015.
Les tensions régionales persistantes en Turquie et les conflits dans les pays voisins étaient un moteur probable de l’activité menaçante pour l’État-nation, assurent les chercheurs de FireEye. Le haut niveau de connectivité Internet du pays a également permis l’arrivée de ce type d’opérations et d’opportunité pour la cybercriminalité la plus avancée.
https://securelist.com/analysis/quarterly-malware-reports/74640/it-threat-evolution-in-q1-2016/
https://securelist.com/blog/research/74398/locky-the-encryptor-taking-the-world-by-storm/
https://securelist.com/?p=74609