Intelligences Défense et Sécurité

OK, c'est en anglais... 

Plus loin, la traduction en français 

Extortion Payments Hit New Records as Ransomware Crisis Intensifies

By Ramarcus Baylor, Jeremy Brown and John Martineau on PALO ALTO NETWORKS
August 9, 2021 at 3:00 AM
4 min. read

Unit 42 Ransomware Threat Report, 1H 2021 Update

The average ransomware payment climbed 82% since 2020 to a record $570,000 in the first half of 2021, as cybercriminals employed increasingly aggressive tactics to coerce organizations into paying larger ransoms. The increase comes after the average payment last year surged 171% to more than $312,000. These figures, compiled by the Unit 42 security consulting group, quantify what many of us already know – the ransomware crisis continues to intensify as criminal enterprises boost investment in highly profitable ransomware operations.

We already knew it was getting worse from following the news, and many of us also knew from personal experience. Ransomware attacks have prevented us from accessing work computers, pushed up meat prices, led to gasoline shortages, shut down schools, delayed legal cases, prevented some of us from getting our cars inspected and caused some hospitals to turn away patients.

 

The Rise of Quadruple Extortion

The rise of “quadruple extortion” is one disturbing trend identified by Unit 42 consultants as they handled dozens of ransomware cases in the first half of 2021. Ransomware operators now commonly use as many as four techniques for pressuring victims into paying:

1. Encryption: Victims pay to regain access to scrambled data and compromised computer systems that stop working because key files are encrypted.
2. Data Theft: Hackers release sensitive information if a ransom is not paid. (This trend really took off in 2020.)
3. Denial of Service (DoS): Ransomware gangs launch denial of service attacks that shut down a victim’s public websites.
4. Harassment: Cybercriminals contact customers, business partners, employees and media to tell them the organization was hacked.

While it’s rare for one organization to be the victim of all four techniques, this year we have increasingly seen ransomware gangs engage in additional approaches when victims don’t pay up after encryption and data theft. The 2021 Unit 42 Ransomware Threat Report, which covered 2020 trends, flagged double extortion as an emerging practice – and the latest observations show attackers again doubling the number of extortion techniques they use. As they’ve adopted these new extortion approaches, ransomware gangs have gotten greedier. Among the dozens of cases that Unit 42 consultants reviewed in the first half of 2021, the average ransom demand was $5.3 million. That’s up 518% from the 2020 average of $847,000.

The highest ransom demand of a single victim seen by our consultants rose to $50 million in the first half of 2021 from $30 million last year. Additionally, REvil recently tested out a new approach by offering to provide a universal decryption key to all organizations impacted by the Kaseya VSA attack for $70 million, though it quickly dropped the asking price to $50 million. Kaseya eventually obtained a universal decryption key, but it’s unclear what payment was made, if any.

The largest confirmed payment, so far this year, was the $11 million that JBS SA disclosed after a massive attack in June. Last year, the largest payment we observed was $10 million.

 

The Ransomware Trajectory

We expect the ransomware crisis will continue to gain momentum over the coming months, as cybercrime groups further hone tactics for coercing victims into paying and also develop new approaches for making attacks more disruptive. For example, we’ve started to see ransomware gangs encrypt a type of software known as a hypervisor, which can corrupt multiple virtual instances running on a single server. We expect to see increased targeting of hypervisors and other managed infrastructure software in the coming months. We also expect to see more targeting of managed service providers and their customers in the wake of the attack that leveraged Kaseya remote management software, which was used to distribute ransomware to clients of managed service providers (MSPs).

While we predict that ransoms will continue their upward trajectory, we do expect to see some gangs continue to focus on the low end of the market, regularly targeting small businesses that lack resources to invest heavily in cybersecurity. So far this year, we have observed groups, including NetWalker, SunCrypt and Lockbit, demanding and taking in payments ranging from $10,000 to $50,000. While they may seem small compared to the largest ransoms we observed, payments that size can have a debilitating impact on a small organization.

To learn more about ransomware, check out our extensive ransomware coverage on the Unit 42 blog. Highlights include our 2021 Unit 42 Ransomware Threat Report along with profiles of some of the world’s most prolific ransomware gangs:

• Mespinoza
• REvil
• Prometheus
• Conti
• DarkSide
• Clop

Defending against ransomware attacks starts with having a plan. You can jump start that process with a Ransomware Readiness Assessment.

___________________________________________________________________________

Le rapport, avec Thierry Karsenti, expert cyber reconnu et VP Technique EMEA chez Palo Alto Networks :

 

 

Avec l'intensification des attaques par ransomwares, 

les sommes extorquées battent de nouveaux records

Rapport sur les menaces de ransomwares de l'Unit 42, mise à jour du 1^er semestre 2021

 

Cette année, les crises cyber liées aux ransomwares se sont intensifiées avec la mise en œuvre par les cybercriminels de nouvelles techniques sournoises d'extorsion, d’outils de piratage améliorés et de modèles économiques affinés. Dans ce secteur, les rançons réclamées ont battu de nouveaux records en 2020.

 

Une tendance qui se confirme et est documentée dans ce nouveau rapport de l'Unit 42, la division conseil en cybersécurité de Palo Alto Networks qui s’est penchée sur les dizaines de cas étudiés par ses consultants et chercheurs spécialisés dans l’analyse menaces au cours du premier semestre 2021. 

 

Les principales conclusions :

• Le montant moyen des demandes de rançons a grimpé pour passer à 5,3 M$ au premier semestre 2021 — soit un bond de 518 % par rapport aux chiffres observés par l'Unit 42 sur l'ensemble de l’année 2020. 
• La rançon moyenne versée s'élevait à 570 000 $, en hausse de 82 % par rapport à 2020. 
• Pour les consultants d'Unit 42, « la quadruple extorsion » est en plein essor. Ce phénomène désigne les quatre stratégies utilisées par les pirates pour convaincre leurs victimes de payer. Ce nouveau scénario marque une intensification de la pression exercée par les cybercriminels qui, en 2020, n’utilisaient que deux méthodes.

 

 

La rançon moyenne versée à la suite d'une attaque par ransomware a progressé de 82 % pour atteindre le chiffre record de 570 000 $ au premier semestre 2021. Les tactiques employées par les cybercriminels sont en effet de plus en plus agressives pour contraindre les organisations à payer davantage. Cette hausse survient après l'augmentation de 171 % déjà constatée l'an dernier de la rançon moyenne versée, qui avait franchi la barre des 312 000 $. Ces chiffres, compilés par la division de conseil en cybersécurité de l'Unit 42, quantifient ce que nous sommes déjà nombreux à savoir : la crise des ransomwares continue à s'intensifier à mesure que les entreprises criminelles investissent davantage dans des opérations extrêmement lucratives basées sur des rançongiciels.

 

Il suffisait déjà de suivre l’actualité pour savoir que le phénomène s’aggravait, et nous étions déjà nombreux à en avoir fait personnellement l'expérience. Verrouillage de l'accès à nos ordinateurs, augmentation du prix de la viande, pénuries d'essence, fermetures d'écoles, retards dans les affaires judiciaires, impossibilité pour certains d'entre nous de faire inspecter nos véhicules et refus de prise en charge de patients dans certains hôpitaux, les conséquences des attaques par ransomware étaient multiples.

Essor de la quadruple extorsion

L’essor de la « quadruple extorsion » est préoccupant. La tendance a été identifiée par les consultants d'Unit 42 lorsqu’ils ont traité plusieurs dizaines de cas de ransomwares au premier semestre 2021. Il est désormais fréquent de voir les exploitants de rançongiciels combiner jusqu'à quatre techniques pour faire pression sur les victimes et les pousser à payer :

 

1. Chiffrement : les victimes paient pour retrouver l'accès à leurs données brouillées et systèmes informatiques compromis qui ne fonctionnent plus à cause du chiffrement de certains fichiers clés. 
2. Vol de données : les pirates dévoilent des informations sensibles si la rançon n'est pas payée. (La tendance a réellement explosé en 2020.)
3. Déni de service (DoS) : les gangs de rançongiciels lancent des attaques par déni de service qui font tomber les sites Web publics de leurs victimes.
4. Harcèlement : les cybercriminels contactent les clients, les partenaires commerciaux, les employés et les médias pour les informer du piratage de l'organisation.

 

S'il est rare qu'une organisation soit victime de ces quatre techniques, nous avons noté cette année que les gangs de cybercriminels mobilisaient des méthodes supplémentaires lorsque ni le chiffrement ni le vol de données ne suffisaient à faire payer les victimes. C'est deux fois plus que ce qu'indique le Rapport Ransomware 2021 d'Unit 42 qui signalait l'émergence du double chiffrement comme l’une des nouvelles tendances en 2020. L'adoption de ces nouveaux scénarios d'extorsion a stimulé l'avidité des gangs de ransomwares. Le montant moyen des rançons réclamées a bondi de 518 % au premier semestre 2021 pour atteindre 5,3 M$ — contre 847 000 $ en moyenne en 2020.

 

Nos consultants ont observé un nouveau record pour les demandes de rançon sur une victime unique. Il s’établit à 50 M$ au premier semestre 2021, contre 30 M$ l'an dernier. REvil a en outre récemment testé un nouveau scénario en proposant de fournir une clé de déchiffrement universelle à toutes les organisations touchées par l'attaque Kaseya, moyennant le paiement de 70 M$ — avant de rapidement revoir ce montant à la baisse, pour demander 50 M$. Kaseya a fini par obtenir une clé de déchiffrement universelle, mais on ignore quelle somme a été versée — si paiement il y a eu. 

 

Jusqu'ici cette année, les 11 M$ payés par JBS SA après une attaque d’envergure essuyée en juin 2021 représentaient la plus grosse rançon versée, alors que le record était de 10 M$ en 2020. 

Ransomwares : quelles perspectives ? 

La crise des ransomwares devrait continuer à monter en puissance au cours des prochains mois. Les groupes derrière les rançongiciels continuent en effet à perfectionner leurs tactiques pour renforcer leur pouvoir coercitif sur leurs victimes et les convaincre de payer. Ils développent également de nouvelles méthodes pour décupler le potentiel de déstabilisation de leurs attaques. L’Unit42 a ainsi commencé à voir que certains gangs chiffrent un type de logiciel d'infrastructure essentiel, l'hyperviseur, avec le risque de corrompre plusieurs instances virtuelles qui s'exécutent sur un seul serveur. L’Unit42 estime que les hyperviseurs, mais aussi d'autres logiciels d'infrastructures managées, seront davantage pris pour cibles. Au lendemain de l'attaque contre le logiciel de gestion de parc à distance, Kaseya, qui a permis de diffuser des ransomwares aux clients des fournisseurs de services gérés (MSP, Managed Service Providers), l’Unit42 anticipe une augmentation des attaques contre ces sociétés d'infogérance — et leurs clients. 

 

Si les rançons devaient poursuivre leur trajectoire ascendante, le bas du marché devrait continuer à intéresser les gangs qui ciblent régulièrement les petites entreprises sans gros moyens pour investir lourdement dans la cybersécurité. Depuis le début de l'année, certains groupes comme NetWalker, SunCrypt et Lockbit ont réclamé entre 10 000 $ et 50 000 $ de rançons qu’elles ont empochées. Même si ces sommes paraissent modiques au regard des rançons records observées, le versement de telles rançons peut affaiblir une petite entreprise. 

 

Pour approfondir le sujet, de nombreuses ressources et rapports détaillés sur les ransomwares sont publiés sur le blog de l'Unit 42. Parmi les points essentiels, vous retrouverez le Rapport Ransomware 2021 de l'Unit 42 ainsi que les profils de quelques-uns des gangs de ransomwares les plus prolifiques au monde :

• Mespinoza
• REvil
• Prometheus
• Conti
• DarkSide
• Clop

 

Contre les attaques par ransomware, il faut un plan d'attaque. L’évaluation de son niveau de préparation face aux ransomwares constitue un excellent point de départ.

 

Au-delà, voici quelques conseils pour se prémunir de ces attaques. Ils émanent de Jen Miller-Osborn, Directrice adjointe de l’Unit42 : 

 

Les conseils de l’Unit 42 sur la cybersécurité : comment arrêter les attaques par rançongiciels 

Il y a seulement cinq ans, les experts en cybersécurité avaient averti que la menace de la cyber-extorsion était appelée à monter en puissance, les cybercriminels se tournant de plus en plus souvent vers les rançongiciels. Les pirates ont depuis perfectionné leur capacité à infiltrer les systèmes informatiques et à chiffrer toutes les données tant que leur propriétaire n’a pas versé une rançon pour en reprendre le contrôle.

En 2016, la majorité des rançons acquittées étaient inférieures ou égales à $500. Aujourd'hui, nous observons régulièrement des rançons dont le montant est 10 000 fois plus élevé. Les consultants de Palo Alto Networks ont vu les montants moyens dépasser $500 000. Nous avons même vu des paiements de plus de $10 millions.

 

Et pourtant, ce n’est pas un scénario de film. Au fil du temps, les pirates ont compris qu’il était plus rentable de cibler de grandes entreprises, et ils se sont rués sur cette manne. De plus, ils ont appris que le fait de chiffrer les données leur permettait de désactiver des systèmes informatiques stratégiques : ils ont ainsi le pouvoir de perturber les centres d’appels d’urgence, d’arrêter le fonctionnement des gazoducs et de mettre à l’arrêt les urgences des hôpitaux.

Les rançongiciels posent un risque énorme pour la sécurité nationale et pour les opérations des grandes entreprises. Et si ce sont les attaques contre les grands groupes et les États qui font les gros titres, les petites entreprises sont aussi régulièrement victimes de la cyber-extorsion. De telles agressions peuvent être désastreuses pour ces petites structures qui ne possèdent pas les connaissances, le personnel et les ressources financières pour résister à une cyber-attaque d’envergure.

 

À l’heure où les entreprises opèrent leur transition vers un modèle de travail hybride, il est plus important que jamais d’informer les employés des dangers des rançongiciels. Les nouveaux environnements, qui font cohabiter employés en présentiel et télétravailleurs, et appareils professionnels et personnels connectés aux réseaux de l’entreprise, font que les pirates peuvent repérer plus facilement que jamais les failles de sécurité.

 

3 conseils pour se protéger des attaques par rançongiciels

 

1. Méfiez-vous des emails de hameçonnage : si vous pensez en avoir reçu un, signalez-le. 

Les rançongiciels se diffusent principalement par le biais d’emails d’hameçonnage contenant des pièces jointes malveillantes. Se faisant passer pour un message légitime, le courriel frauduleux pousse le destinataire à répondre en l’incitant à cliquer sur un lien, à ouvrir une pièce jointe ou à fournir directement des informations sensibles.

 

Les emails d’hameçonnage sont devenus l’une des principales méthodes utilisées par les rançongiciels parce qu’ils sont simples à déployer. Outre cette facilité, il existe des kits d’hameçonnage bon marché comprenant des logiciels de développement de site Web, du code, des logiciels de spam et du contenu qui peuvent être utilisés par les pirates pour créer des sites Web et des emails convaincants.

 

2. Mettez à jour vos appareils en leur appliquant les derniers correctifs logiciels.

Les pirates exploitent souvent les failles logicielles pour propager leurs rançongiciels. Ces failles désignent les points faibles d’un logiciel.

Un correctif logiciel contribue à résoudre ce problème en résolvant les failles de sécurité d’un logiciel afin de les rendre inexploitables par un pirate. La plupart du temps, les correctifs logiciels sont envoyés automatiquement par l’éditeur, et vous avez tout intérêt à les appliquer. En d’autres occasions, vous devez installer manuellement un correctif logiciel : assurez-vous de disposer des plus récents. Si vous ne les avez pas, procurez-les-vous sur le site Web de l’éditeur de logiciels et installez-les.

 

3. Restaurez les fichiers chiffrés à l’aide de vos sauvegardes.

Si vous êtes victime d’une attaque par rançongiciel, ne paniquez pas. Regardez si vous avez sauvegardé vos fichiers. Si c’est le cas, restaurez-les à partir de la dernière version. C’est le moyen le plus rapide de récupérer vos fichiers. Si vous ne les aviez pas sauvegardés, par contre, vous pouvez considérer qu’ils sont perdus.

 

La question la plus courante que nous recevons concernant les attaques par rançongiciel est celle-ci : “Devons-nous payer la rançon ?” Malheureusement, il n’existe pas de scénario universel. Toutes les victimes des attaques par rançongiciel se retrouvent confrontées à des décisions difficiles. Adressez-vous à un professionnel qui saura vous conseiller sur la marche à suivre.

Notre conseil est de vous préparer à une attaque par rançongiciel. Il existe des outils et des technologies de sécurité qui peuvent empêcher une telle attaque et vous éviter de devoir prendre cette décision difficile.