Ransomware

Première étape : obtenir un accès initial pour distribuer des ransomwares

Principales observations

  • Aujourd'hui, les ransomwares ne menacent plus la messagerie directement mais indirectement, l'email n'étant qu'un des composants de la chaîne d'attaque. 
  • Les opérateurs de ransomwares font appel à des groupes cybercriminels, principalement des distributeurs de chevaux de Troie bancaires, pour le déploiement de leurs malwares. Ces facilitateurs d'accès distribuent leurs portes dérobées par l'intermédiaire de pièces jointes et de liens malveillants envoyés par email.
  • Au premier semestre 2021, selon les données de Proofpoint, les chevaux de Troie bancaires ont été le malware distribué par email le plus populaire, représentant près de 20 % des malwares observés. 
  • Proofpoint surveille actuellement au moins 10 groupes cybercriminels probablement affiliés à des organisations de ransomwares ou faisant office de facilitateurs d'accès initial.
  • Les ransomwares sont rarement distribués directement par email. Une seule souche de ransomware représente 95 % des ransomwares utilisés comme charge virale initiale entre 2020 et 2021.
  • Il n'existe pas de lien direct entre les chargeurs de malwares et les attaques de ransomwares. Plusieurs groupes cybercriminels utilisent les mêmes charges virales pour distribuer des ransomwares.

Présentation

Les attaques de ransomwares continuent d'utiliser le canal email, mais pas comme vous l'imaginez. Les opérateurs de ransomwares achètent souvent un accès auprès de groupes cybercriminels indépendants qui infiltrent des cibles de choix, puis vendent cet accès aux opérateurs en échange d'une part de leurs gains mal acquis. Des groupes cybercriminels distribuant déjà des malwares bancaires ou autres chevaux de Troie peuvent également intégrer un réseau affilié d'organisations de ransomwares. Se constitue ainsi un écosystème criminel solide et lucratif dans lequel différents individus et organisations ne cessent de s'enrichir, aux dépens des victimes. 

Pour empêcher la distribution de ransomwares par email, rien de plus simple : il faut bloquer les chargeurs. 

En général, les courtiers d'accès initial sont perçus comme des cybercriminels opportunistes offrant des services aux affiliés et autres cyberpirates après coup, par exemple en faisant la promotion d'accès à vendre sur des forums. Pour les besoins de ce rapport, la définition suivante d'un courtier d'accès initial a été retenue : groupe obtenant un accès initial par le biais de charges virales initiales pouvant ou non travailler directement avec des opérateurs de ransomwares.

Ces cybercriminels attaquent les entreprises ciblées avec un malware initial, tel que The Trick, Dridex ou Buer Loader, puis vendent leur accès à des opérateurs de ransomwares pour leur permettre de lancer des opérations de vol et de chiffrement de données. Selon les données de Proofpoint, les chevaux de Troie bancaires, souvent utilisés comme chargeurs de ransomwares, représentaient près de 20 % des malwares observés dans les campagnes identifiées au cours du premier semestre 2021, et le type de malware le plus populaire. Proofpoint a également constaté le déploiement de ransomwares via SocGholish, qui utilise de fausses mises à jour et des sites Web factices pour infecter les utilisateurs, et via le système de distribution de trafic (TDS) Keitaro et des kits d'exploitation de suivi employés par les opérateurs pour échapper à la détection. 

Proofpoint bénéficie d'une visibilité inégalée sur les charges virales d'accès initial (et sur les cybercriminels qui les fournissent) souvent utilisées par les opérateurs de ransomwares. Il est important de noter que les ransomwares ne constituent pas la seule charge virale secondaire associée aux malwares identifiés. Les opérateurs de ransomwares ne se contentent pas de véhiculer leurs menaces par email, mais profitent également des vulnérabilités des logiciels exécutés sur des terminaux réseau exposés à Internet ou des services d'accès à distance non sécurisés pour obtenir un accès initial.

Carte de l'écosystème des ransomwares

Proofpoint surveille actuellement une dizaine de groupes cybercriminels suspectés de faire office de courtiers d'accès initial. De nombreuses campagnes d'attaques par email distribuant des chargeurs de malwares observées par Proofpoint se sont soldées par des infections de ransomwares. Il est difficile de prouver la collaboration entre des courtiers d'accès et des opérateurs de ransomwares, ceux-ci mettant tout en œuvre pour dissimuler leur identité et échapper à la détection. Une collaboration directe entre courtiers d'accès initial/développeurs de portes dérobées et opérateurs de ransomwares est possible, les premiers pouvant même assumer le rôle des derniers.

Facilitateurs d'accès initial 

Emotet, logiciel malveillant polyvalent et perturbateur, a été l'un des distributeurs de malwares les plus prolifiques à l'origine d'infections de ransomwares coûteuses entre 2018 et 2020. En janvier 2021, une coopération internationale entre les autorités du monde entier a permis de désorganiser le malware, détruisant son infrastructure et empêchant ainsi toute nouvelle infection. 

Depuis le démantèlement d'Emotet, Proofpoint a observé une activité continue et homogène des malwares The Trick, Dridex, Qbot, IcedID, ZLoader, Ursnif et beaucoup d'autres, servant de charges virales initiales en vue de futures infections, notamment de ransomwares. Proofpoint surveille ces familles de malwares dits bancaires. Au cours des six derniers mois, les chevaux de Troie bancaires ont été associés à plus de 16 millions de messages, ce qui en fait le type de malware le plus couramment observé dans nos données. 

Proofpoint surveille également des téléchargeurs, tels que Buer Loader et BazaLoader, souvent utilisés comme vecteurs d'accès initial pour les attaques de ransomwares. Au cours des six derniers mois, près de 300 campagnes de téléchargement distribuant environ six millions de messages malveillants ont été identifiées par Proofpoint.

Les chercheurs de Proofpoint surveillent les accès par porte dérobée proposés par divers cybercriminels sur les forums de piratage. Selon l'entreprise compromise et ses marges bénéficiaires, l'accès peut coûter entre quelques centaines et plusieurs milliers de dollars, payables en cryptomonnaie, le plus souvent en bitcoins.

Proofpoint observe un chevauchement entre divers cybercriminels, malwares et déploiements de ransomwares. Nos données, combinées à des rapports externes, indiquent par exemple que le ransomware Conti a été associé à plusieurs chargeurs initiaux, notamment Buer, The Trick, ZLoader et IceID. IcedID a également été associé aux attaques de ransomwares Sodinokibi, Maze et Egregor.

TA800 est un groupe cybercriminel d'envergure surveillé par Proofpoint depuis le milieu de l'année 2019. Ce groupe tente de distribuer et d'installer des malwares bancaires et des chargeurs de malwares, notamment The Trick, BazaLoader, Buer Loader et Ostap. Ses charges virales ont été utilisées pour distribuer des ransomwares. Proofpoint est presque certain que le groupe TA800 est associé à des implants BazaLoader utilisés par des cybercriminels pour distribuer le ransomware Ryuk. 

TA577

TA577 est un groupe cybercriminel prolifique surveillé par Proofpoint depuis le milieu de l'année 2020. Ce groupe mène des campagnes d'envergure ciblant divers secteurs et zones géographiques. Selon les observations de Proofpoint, TA577 distribue des charges virales telles que Qbot, IceID, SystemBC, SmokeLoader, Ursnif et Cobalt Strike. 

Proofpoint est presque certain de l'implication de TA577 dans l'infection du ransomware Sodinokibi survenue en mars 2021. TA577 a d'abord compromis sa victime par le biais d'emails contenant des pièces jointes Microsoft Office malveillantes qui, lorsque les macros sont activées, téléchargent et exécutent IcedID. L'activité associée à ce groupe cybercriminel a bondi de 225 % au cours des six derniers mois. 

TA569

TA569 est un vendeur de trafic et de charges virales connu pour compromettre des serveurs de gestion de contenu ainsi qu'injecter et rediriger du trafic Web vers un kit d'ingénierie sociale. Ce groupe cybercriminel utilise de fausses mises à jour pour inciter les utilisateurs à mettre à jour leur navigateur et à télécharger un script malveillant. Proofpoint surveille TA569 depuis 2018, mais ce groupe existe depuis la fin de l'année 2016 au moins. 

Proofpoint est presque certain que TA569 est associé aux campagnes du ransomware WastedLocker lancées en 2020, qui s'appuient sur la structure de mise à jour factice SocGholish pour distribuer le ransomware. Certaines organisations tierces associent ce ransomware à un groupe cybercriminel russe connu sous le nom d'Evil Corp, mais ce n'est pas le cas de Proofpoint.

TA551

TA551 est un groupe cybercriminel surveillé par Proofpoint depuis 2016. Il utilise souvent le piratage de fils de discussion pour distribuer des documents Office malveillants par email et sévit dans plusieurs secteurs et zones géographiques. Selon les observations de Proofpoint, TA551 distribue Ursnif, IcedID, Qbot et Emotet. 

Proofpoint est presque certain que des implants d'IceID par TA551 ont été associés à des attaques des ransomwares Maze et Egregor en 2020. 

TA570

Proofpoint surveille depuis 2018 ce groupe cybercriminel d'envergure, l'un des affiliés du malware Qbot les plus actifs. Qbot a été utilisé pour la distribution de ransomwares, notamment ProLock et Egregor. TA570 peut utiliser des sites d'hébergement de fichiers ou des sites WordPress compromis pour héberger ses charges virales. Il a été associé au piratage de fils de discussion distribuant des pièces jointes et des URL malveillantes. Au cours des six derniers mois, l'activité du groupe a augmenté de près de 12 %.

 

Figure 1. Échantillon de groupes cybercriminels surveillés, charges virales d'accès initial distribuées et ransomwares déployés à partir de cet accès initial. La source de ces informations est indiquée dans les descriptions de chaque groupe ci-dessus.

TA547

TA547 est un groupe cybercriminel prolifique distribuant principalement des chevaux de Troie bancaires, notamment ZLoader, The Trick et Ursnif, dans différentes zones géographiques. De par son recours fréquent au geofencing, ses charges virales peuvent ne pas être accessibles aux utilisateurs de toutes les régions. L'accès aux charges virales depuis des VPN est souvent impossible, car le groupe cybercriminel place les adresses IP de sortie des VPN sur liste noire. Au cours des six derniers mois, le nombre de campagnes associées à ce groupe cybercriminel a bondi de près de 30 %.

TA544

Ce groupe cybercriminel très actif installe régulièrement des malwares bancaires et autres charges virales dans différentes zones géographiques, notamment l'Italie et le Japon. Il est probablement affilié à plusieurs développeurs. TA544 distribue les chevaux de Troie Ursnif et Dridex, et a envoyé plus de huit millions de messages malveillants au cours des six derniers mois, selon les données de Proofpoint.

TA571

Proofpoint surveille le groupe TA571 et ses tentatives de distribution et d'installation de malwares bancaires depuis 2019. Ce groupe distribue Ursnif, ZLoader et DanaBot, et utilise souvent des services légitimes d'hébergement de fichiers ou une infrastructure compromise ou piratée pour héberger ses charges virales. En moyenne, TA571 distribue plus de 2 000 messages par campagne.

TA574

Selon les observations des chercheurs de Proofpoint, TA574 a distribué plus d'un million de messages au cours des six derniers mois. Ce groupe cybercriminel très actif sévit dans plusieurs secteurs et tente de distribuer et d'installer des malwares comme ZLoader. En général, il distribue des pièces jointes Office malveillantes et emploie différentes techniques, comme le géociblage et la détection d'agents utilisateur, avant le déploiement du malware. Les chercheurs de Proofpoint surveillent TA574 depuis juin 2020. 

TA575

TA575 est un groupe affilié à Dridex surveillé par Proofpoint depuis la fin de l'année 2020. Ce groupe distribue des malwares via des URL malveillantes, des pièces jointes Office et des fichiers protégés par mot de passe. En moyenne, TA575 distribue à des centaines d'entreprises près de 4 000 messages par campagne. 

Ransomwares initiaux

Proofpoint constate que la distribution de ransomwares directement par email, sous forme de pièces jointes ou de liens, a nettement diminué. En 2020 et 2021, par exemple, Proofpoint a identifié 54 campagnes de ransomwares distribuant un peu plus d'un million de messages. 

Parmi celles-ci, on comptait quatre campagnes Avaddon distribuant environ un million de messages en 2020, soit 95 % du total. En mai 2021, le FBI a communiqué des détails sur l'augmentation de l'activité d'Avaddon et noté que les opérateurs de ransomwares obtiennent un accès initial via des portails d'accès à distance, tels que des clients RDP et VPN, et non plus directement via la messagerie. Ce changement opérationnel est cohérent avec les campagnes Avaddon observées dans les données recueillies par Proofpoint. 

Parmi les autres ransomwares exploitant directement la messagerie comme vecteur d'accès et figurant dans les données recueillies par Proofpoint cette année, on peut citer Hentai OniChan, BigLock, Thanos, Demonware et Xorist.

Diversification de la cybercriminalité

L'équipe Proofpoint de recherche sur les cybermenaces a analysé des données recueillies entre 2013 et aujourd'hui pour mieux comprendre les tendances observées en matière de ransomwares et d'utilisation de la messagerie comme vecteur d'accès initial. Proofpoint a constaté que le nombre de campagnes de ransomwares distribuées directement par email sous forme de pièces jointes ou de liens était relativement faible et stable avant 2015. Par la suite, les cybercriminels ont nettement renforcé ce mode de distribution de ransomwares. Les cybercriminels envoient à des adresses email individuelles un grand nombre de messages contenant les URL ou fichiers malveillants destinés à infecter l'ordinateur de la victime dès que celle-ci clique sur un lien ou télécharge une pièce jointe. Locky, par exemple, a été envoyé dans pas moins d'un million de messages par jour en 2017, avant que ses opérations ne s'interrompent brutalement. 

Figure 2. Volumes de ransomwares en tant que malwares initiaux

Les données de Proofpoint indiquent une baisse significative des campagnes de ransomwares initiaux en 2018. Plusieurs facteurs ont contribué à l'abandon des ransomwares comme charge virale initiale, notamment l'amélioration de la détection des menaces, les activités de chiffrement individuelles entraînant une diminution des gains et l'apparition de menaces présentant les caractéristiques d'une attaque par ver et nécessitant une intervention humaine aux capacités nettement plus perturbatrices.

Le mode opératoire des cyberpirates

Les opérateurs de ransomwares mènent actuellement une « chasse au gros gibier ». Ils mettent en place une surveillance en libre accès pour identifier les organisations de grande valeur, les cibles vulnérables et la probabilité de paiement de la rançon par les entreprises. En collaboration avec des courtiers d'accès initial, les opérateurs de ransomwares peuvent exploiter des portes dérobées existantes pour effectuer un déplacement latéral et compromettre l'ensemble du domaine avant de procéder au chiffrement des données. 

Voici à quoi peut ressembler une chaîne d'attaque ayant recours à des courtiers d'accès initial :

  1. Un cybercriminel envoie des emails contenant un document Office malveillant.
  2. Un utilisateur télécharge le document et active des macros qui injectent une charge virale.
  3. Le cybercriminel tire parti de l'accès par porte dérobée pour exfiltrer des informations système.
  4. À ce stade, le courtier d'accès initial peut vendre l'accès à un autre cybercriminel.
  5. Le cybercriminel déploie Cobalt Strike via l'accès par porte dérobée, ce qui lui permet d'effectuer un déplacement latéral sur le réseau.
  6. Le cybercriminel parvient à compromettre l'ensemble du domaine via Active Directory.
  7. Le cybercriminel déploie un ransomware sur tous les postes de travail appartenant au domaine.

Ransomware

Figure 3. Exemple de chaîne d'attaque via un courtier d'accès initial

Prévisions

Les données recueillies par Proofpoint en 2021 montrent une persistance des menaces propagées par email, notamment des téléchargeurs et des malwares bancaires avec charges virales exécutées en plusieurs étapes qui aboutissent souvent à des infections de ransomwares. Les cybercriminels effectuent une reconnaissance approfondie, une élévation de privilèges et un déplacement latéral au sein de l'environnement avant de déployer manuellement la charge virale du ransomware. La durée d'implantation est un élément clé à surveiller. Au cours des deux dernières années, plusieurs rapports publics publiés par des entreprises de réponse aux incidents notent une diminution du temps passé par les cybercriminels dans un environnement avant les opérations de chiffrement. Dans certains cas, il ne s'est pas écoulé plus de deux jours entre l'accès initial et le déploiement du ransomware, contre 40 jours en moyenne en 2019.

Les courtes durées d'implantation, les gains élevés et la collaboration au sein de l'écosystème cybercriminel ont donné lieu à une vague d'attaques prise au sérieux par les gouvernements du monde entier. En réponses à de récentes attaques de ransomwares très médiatisées, le gouvernement américain a proposé de redoubler d'efforts dans la lutte contre les ransomwares, mettant ce sujet brûlant à l'ordre du jour de la conférence du G7 de 2021. En concentrant les efforts sur cette menace et en renforçant les investissements en cyberdéfense dans plusieurs chaînes logistiques, il est possible de réduire la fréquence et l'efficacité des attaques de ransomwares.