Les nouvelles formes de ransomwares
Les ransomwares sont des malwares qui paralysent les systèmes de bases de données d’un réseau, d’une entreprise et même des grandes écoles. Leur finalité consiste en général à demander une rançon en échange de la restauration desdits systèmes. Dans cet article, nous analyserons quelques types de ransomwares ayant déjà attaqué les entreprises et les gouvernements du monde entier.
RYUK
Ryuk est un ransomware développé par les cybercriminels russes, Wizard Strike. Il est responsable des attaques les plus importantes en 2019, surtout en Amérique. Les villes touchées étaient notamment celles de Lake City, de Riviera Beach, de Pensacola en Floride, de Lincoln ainsi que de certaines dans le Nebraska.
Vers la fin de l’année 2019, CyrusOne de Ryuk ransomware a attaqué un centre de données de la ville de Dallas. En fait, les hackers envoient un email de phishing contenant le ransomware. Ryuk n’affecte nullement l’ordinateur de l’utilisateur. Il libère des outils hackers (Trickbot ou Emotet), qui ont pour mission de recueillir les données, dont le ransomware Ryuk a besoin pour agir. Une fois qu’il obtient les informations nécessaires, Ryuk peut alors se répandre dans tout le système ciblé. Ensuite, il injecte son code dans le processus pour paralyser les logiciels et les bases de données antivirus du réseau de la société. Enfin, les hackers envoient une demande de rançon à la société visée. La Floride a dû par exemple verser 1 million de dollars en Bitcoins pour récupérer ses données. La Nouvelle-Orléans a quant à elle perdu 7 millions de dollars pour remettre son système en ordre.
MAZE
Ce ransomware est l’auteur d’une série d’attaques des agences gouvernementales allemandes et des entreprises américaines en 2019. L’outil qui distribue Maze est le kit Fallout. Il peut infecter un ordinateur, mais sa tâche principale de recueillir des informations recherchées par Maze afin de mieux connaître l’ordinateur de l’utilisateur. Les cybercriminels s’en servent pour élaborer des demandes de rançons plus personnelles. Leurs cibles étaient les internautes italophones, dont ils usurpaient l’identité pour atteindre les bureaux financiers du gouvernement italien.
SODINOKIBI
Sodinokibi est un ransomware connu pour avoir attaqué le gouvernement américain, à plusieurs reprises, en 2019. 22 municipalités texanes en ont ainsi été victimes. Il se développe à l’aide d’emails de phishing, de kits d’exploit et de serveurs vulnérables. Il se caractérise par sa capacité d’exécution à distance, sans authentification, grâce à son affiliation à GanGrab. À part l’attaque de la société d’échange de devises Travelex, Sodinokibi a également ciblé les PME en visant les services de bureau à distance de leur MSP. En outre, d’autres MSP comme PerCSoft, Synoptek et CyrusOne ont été aussi victimes du ransomware Sodinokibi.
MAILTO
Mailto ou NetWalker est un ransomware détecté pour la première fois en août 2019. Le gouvernement australien est le premier à l’avoir découvert. En février 2020, ce dernier a d’ailleurs publié un avertissement sur la multiplication des attaques de Mailto. Les autorités ont alors suivi de près l’attaque d’une entreprise australienne de transport et logistique appelée Toll Group. Celle-ci est connue pour ses délais de livraison très médiatisés. Les cybercriminels ont procédé au phishing et à une campagne de « password-spraying » contre Toll Group.