Les opérateurs de ransomwares peuvent désormais voler vos données avant de les crypter
Les ransomwares se sont révélés à maintes reprises être l'une des armes les plus puissantes de l'arsenal des cybercriminels. Au départ, les pirates devraient créer leur propre famille de logiciels malveillants de chiffrement de fichiers, ce qui n'est pas exactement une promenade dans le parc, mais pour l'instant, la location ou le téléchargement de souches gratuites est facile. La plupart des utilisateurs ne sont pas encore pleinement conscients des dangers qui se cachent à chaque coin d'Internet, ce qui signifie que les taux d'infection sont généralement assez bons, et le même manque de sensibilisation signifie que beaucoup ne gardent pas de sauvegardes régulières de leurs fichiers qui, à son tour, a un effet positif sur l'équilibre dans les portefeuilles de crypto-monnaie des escrocs.
C'est un modèle d'entreprise éprouvé qui a fonctionné pour beaucoup. Cela ne signifie pas pour autant que la menace n'évolue pas. Loin de ça, en fait.
Dans le passé, les ransomwares étaient principalement utilisés dans des campagnes de pulvérisation et de prière principalement destinées aux utilisateurs à domicile. Au cours des derniers mois, cependant, les cybercriminels ont réalisé que les bénéfices tirés de la frappe de grandes organisations pourraient être plus importants, et l'attention a quelque peu changé. Les experts en cybersécurité ont maintenant repéré une autre tendance plus inquiétante.
Table of Contents
Le rançongiciel Zeppelin vole les données des organisations avant de les crypter
Début décembre, les chercheurs de Morphisec ont été témoins d'une attaque contre un de leurs clients travaillant dans le secteur immobilier. Après une enquête plus approfondie, ils ont réalisé que les pirates tentaient d'infecter l'entreprise avec le rançongiciel Zeppelin, la dernière version de la famille de rançongiciels VegaLocker en tant que service. Les attaquants exploitaient une application de bureau à distance du nom de ConnectWise Control (fka ScreenConnect), et en général, il n'y avait rien de trop inhabituel dans la chaîne d'infection.
Les chercheurs ont cependant remarqué qu'une fois qu'il s'est retrouvé sur l'un des serveurs de base de données Windows de la victime, le ransomware a tenté de créer une copie des données, puis de les envoyer au serveur Command & Control (C&C) des escrocs. Après cela, il a essayé de se propager plus bas sur le réseau et a finalement déployé le module de cryptage de fichiers.
En d'autres termes, le rançongiciel Zeppelin a tenté de voler les données de l'entreprise avant de le verrouiller et de le garder pour rançon. Selon Catalin Cimpanu de ZDNet, c'est loin d'être la seule souche de ransomware à utiliser de telles tactiques. Il a déclaré que les attaquants utilisant les échantillons de rançongiciels Maze, REvil et Snatch se sont également livrés à des activités similaires. Mais pourquoi ont-ils soudainement décidé que c'était une bonne idée?
Un mécanisme de restauration plus fiable
Si vous y réfléchissez, pour les pirates, voler les fichiers avant de les chiffrer et demander une rançon a beaucoup de sens. Ils courent en effet le risque de soulever des soupçons tout en essayant d'exfiltrer un grand nombre de données, mais la probabilité de se faire prendre n'est généralement pas si élevée. Et lorsque vous jetez un coup d'œil aux avantages de l'étape supplémentaire, vous vous demanderez même pourquoi ils n'y ont pas pensé plus tôt.
Dans une attaque de ransomware régulière, lorsque la victime décide de payer la rançon, elle envoie des bitcoins au portefeuille des escrocs et, en retour, elle attend un programme qui déchiffre les fichiers verrouillés. Dans certains cas, les escrocs prennent simplement l'argent et s'enfuient, mais il y a beaucoup d'opérateurs de ransomware qui ont vraiment l'intention de rendre leurs données aux victimes une fois qu'elles ont reçu le paiement. Cependant, ils ont besoin d'écrire leurs propres décrypteurs et, malheureusement, ils font parfois des erreurs.
Nous avons entendu de nombreuses histoires de personnes qui ont perdu des données malgré le paiement de la rançon en raison d'un outil de décryptage défectueux. Les utilisateurs sont ceux qui perdent de l'argent et des données, mais l'impact est également négatif pour les escrocs, qui ne semblent pas très fiables et sont donc moins susceptibles d'être payés par les futures victimes.
Si les pirates ont une copie des données non cryptées, ils peuvent simplement les renvoyer aux victimes après le paiement et s'assurer que les choses reviendront à la normale relativement sans douleur.
Attention, si la victime a une sauvegarde, tout cela serait inutile. À moins, bien sûr, que les pirates ne menacent de divulguer les données si la rançon n'est pas payée.
Plus de levier de chantage
Comme nous l'avons déjà mentionné, les cibles sont souvent de grandes organisations. Les pirates ne peuvent pas leur voler des photos de vacances ou des selfies embarrassants, mais ils peuvent exfiltrer des secrets commerciaux et d'autres informations extrêmement précieuses. Et lorsque l'entreprise attaquée dit qu'elle ne paiera pas parce qu'elle a des sauvegardes, les escrocs peuvent facilement la menacer de divulguer toutes les données sensibles.
Selon le rapport de ZDNet, les opérateurs de ransomware ont déjà utilisé les bases de données volées comme deuxième point d'extorsion, et les escrocs qui exécutent le rançongiciel Maze ont même créé un site Web dans lequel ils répertorient toutes les entreprises qui ont refusé de payer la rançon et ont ensuite exposé leurs données par le groupe.
Il faut dire que toutes les équipes de piratage ne sont pas capables de réussir une telle attaque destructrice. S'ils veulent voler et crypter des informations provenant de nombreux utilisateurs ou entreprises différents, ils auront besoin d'une grande infrastructure C&C dont la configuration et la maintenance pourraient être coûteuses. Ceux qui parviennent à trouver la bonne configuration auront cependant un avantage certain.
