Star mortifère des menaces pendant la période estivale, les ransomwares se sont déchaînés. Plusieurs entreprises ont été touchées dont certaines ont décidé de franchir le Rubicon en payant la rançon. En parallèle, les cybercriminels se structurent et se professionnalisent.
Source : Le monde informatique / Jacques Cheminat, Publié le 28 Aout 2020
Lien internet de l’article: www-lemondeinformatique-fr.cdn.ampproject.org/c/s/www.lemondeinformatique.fr/actualites/lireamp-ransomware-un-ete-2020-meurtrier-80171.html
« Il pleut du ransomware comme à Gravelotte », voici une expression entendue à la rédaction du Monde Informatique pendant la période estivale. En effet, difficile de trouver une semaine sans voir une ou plusieurs entreprises victimes de ce fléau. En juillet, Netwalker a été soupçonné d’avoir fortement perturbé l’activité de l’assureur MMA, tout comme le groupe de BTP, Rabot Dutilleul. Une division d’Orange Business Services a quant à elle subi les assauts de Nefilim dérobant au passage 350 Mo de données. Comment ne pas évoquer Garmin, dont la production a été arrêtée pendant deux jours, ainsi que ses sites web, application mobile, appels téléphoniques, chat en ligne et messagerie.
Et le mois d’août n’a pas été plus paisible, bien au contraire. Les vacances ont été gâchées pour Carlson Wangonlit Travel par le ransomware Ragnar Locker. 30 000 PC auraient été bloqués et 2 To de données subtilisées. Autre spécialiste du voyage dans la tourmente, une des marques du croisiériste Carnival a été ciblée par une attaque. La litanie continue avec le groupe Maze épinglant plusieurs sociétés Canon, LG et Xerox. Plus récemment, ce fut au tour de la firme coréenne de semi-conducteurs SK Hynix d’être frappée par ce gang. Le groupe derrière Sodinokibi a de son côté persécuté Brown-Forman, la maison-mère de Jack Daniel’s. Le prestataire multiservice, Spie, a eu du mal à se défaire du ransomware Nefilim. 4 usines de production ont été mises à l’arrêt chez MOM, propriétaire des compotes Materne et des crèmes MontBlanc.
Haro sur RDP et intérêt sur les VPN
Derrière cette liste à la Prévert se cachent des groupes très organisés, Maze, Nefilim, REvil/Sodinokibi, avec un modus operandi bien rôdé. La première étape consiste à s’introduire dans le réseau de l’entreprise. Pas si difficile que cela comme le montre un rapport de Positive Technologies qui constate une moyenne de 4 jours pour pirater le réseau local d’une société et 93% de réussite. Sur les vecteurs d’attaques, RDP reste le point d’entrée numéro un des attaquants scannant sans relâche Internet à la recherche des maillons faibles. Mais selon un rapport de Coverware, il ne serait efficace que sur des PME-PMI (cf graphique ci-dessous). Pour les grandes entreprises, les gangs ont clairement changé leur angle d’attaque en passant par le phishing ou le spear phishing. C’est le cas de Maze qui se focalise majoritairement sur la messagerie (63%) et moins sur la compromission de port RDP (33%).