Voici comment les gangs de ransomware sélectionnent leurs victimes
Français
Tous les gangs de ransomware ne pénètrent pas dans les réseaux ciblés. Ils achètent souvent l’accès aux réseaux des victimes à d’autres groupes de cybercriminels et à des courtiers d’accès initial (IAB) sur des forums Web sombres. Les IAB sont des sociétés affiliées à des cybercriminels qui pénètrent dans un réseau d’entreprise par le biais d’attaques par force brute ou de phishing, puis vendent cet accès à d’autres groupes d’acteurs menaçants.
Les opérateurs de ransomware annoncent leurs exigences, sur la base desquelles les affiliés offrent une variété de produits et services tels que des portes dérobées de logiciels malveillants, des informations d’identification compromises et l’accès aux systèmes d’entreprise. Après avoir analysé diverses publicités de gangs de ransomware sur le dark web, la société de renseignement sur les menaces KELA a énuméré les critères que les opérateurs de ransomware examinent avant de sélectionner une victime.
« En juillet 2021, KELA a observé des acteurs malveillants créer plusieurs fils de discussion où ils affirmaient qu’ils étaient prêts à acheter des accès et décrivaient leurs conditions. Certains d’entre eux semblent utiliser l’accès pour déployer des logiciels malveillants de vol d’informations et mener d’autres activités malveillantes. D’autres visent à implanter des ransomwares et à voler des données. KELA a exploré ce qui est précieux pour les acteurs de la menace qui achètent des accès, en particulier les attaquants de ransomware, et a construit un profil de victime de ransomware idéale », a déclaré KELA.
Les attaquants sélectionnent leur victime idéale en fonction de :
Géographie – Selon KELA, 47 % des agresseurs ont mentionné l’emplacement souhaité des victimes comme étant les États-Unis, suivis du Canada (37 %), de l’Australie (37 %) et des pays européens (31 %).
Revenus – Le revenu minimum moyen souhaité/exigé par les attaquants ransomware est de 100 millions de dollars.
Secteurs – Près de 47% des attaquants de ransomware ont refusé d’acheter l’accès aux entreprises des secteurs de la santé et de l’éducation. Environ 37% ont interdit de compromettre le secteur gouvernemental et 26% ont affirmé qu’ils n’achèteraient pas d’accès lié à des organisations à but non lucratif.
Type d’accès – La plupart des opérateurs de ransomware sont prêts à acheter toutes sortes d’accès réseau, RDP et VPN étant l’exigence la plus fondamentale. Les autres produits les plus courants permettant l’accès au réseau incluent Citrix, Palo Alto Networks, VMware, Fortinet et Cisco.
Autres constatations clés
- KELA a trouvé 48 fils de discussion actifs où des acteurs ont affirmé qu’ils cherchaient à acheter différents types d’accès. 46% d’entre eux ont été créés ce mois-là, illustrant la demande de listings d’accès.
- 40 % des acteurs cherchant à acheter des accès ont été identifiés comme des participants actifs dans la chaîne d’approvisionnement des ransomwares en tant que service (RaaS) : opérateurs, affiliés ou intermédiaires.
- Les attaquants de ransomware sont prêts à payer pour l’accès, à partir de 100 $ et jusqu’à 100 000 $. Les prix moyens minimum et maximum pour l’accès sont de 1600 $ à 56 250 $. De plus, 32% des attaquants de ransomware sont prêts à payer une part d’une rançon.
« La demande d’accès aux listes sur les forums de cybercriminalité augmente, avec de plus en plus d’acteurs faisant de la publicité, ils sont prêts à acheter des points d’entrée pour les réseaux, les sites, le stockage, etc. C’est une autre preuve de la servitisation continue de la cybercriminalité, en particulier les opérations de ransomware-as-a-service (RaaS) qui s’appuient sur différents spécialistes pour effectuer leurs attaques. Cependant, il est crucial de se rappeler que l’accès à une entreprise entre de mauvaises mains peut être exploité non seulement pour déployer des ransomwares et voler des données, mais également pour d’autres campagnes malveillantes », a ajouté KELA.
