Par Pierguido Iezzi, cofondateur de Swascan
Ryuk a dominé le paysage des attaques par ransomware pour le quatrième trimestre consécutif, selon une étude des chercheurs de Cisco Talos qui ont examiné et analysé un large échantillon de réponses aux incidents.
Les opérateurs de ransomware changent de stratégie, ce qui augmente considérablement le risque pour les organisations dont les efforts de réponse sont également entravés par COVID-19.
L'étude a révélé comment les opérateurs de ransomware changent leurs techniques et utilisent de nouveaux moyens pour viser leurs cibles.
Comment Ryuk a maintenu sa "primauté"
Au cours des derniers trimestres, Ryuk a évolué d'une manière qui suggère sans équivoque que les pirates criminels changent de tactique.
En fait, une tendance émergente a été observée pour Ryuk, où l'infection n'est pas nécessairement précédée par le cheval de Troie classique, ce qui permet au ransomware de passer inaperçu pendant un certain temps.
Jusqu'à récemment, Emotet et TrickBot étaient utilisés comme droppers initiaux pour Ryuk, mais il semble maintenant que cette tactique ait été abandonnée. Les opérateurs de ce ransomware sont passés à des outils plus sophistiqués, qui peuvent les aider à contourner les outils de sécurité, à rester silencieux et à leur donner un délai plus long pour atteindre leurs objectifs.
Mais le ransomware a également évolué d'autres manières : Ryuk a commencé à s'appuyer sur et à utiliser des commandes PowerShell codées pour télécharger sa charge utile, désactiver les outils antivirus et de sécurité, perturber les sauvegardes et analyser le réseau pour fournir une liste d'hôtes en ligne et hors ligne.
Comme si cela ne suffisait pas, les pirates criminels à l'origine de ces attaques ont commencé à extraire des données sensibles pour les utiliser comme levier afin de forcer les victimes à payer la rançon, poursuivant une tendance qui a débuté en 2019.
Comment Ryuk frappe
Le phishing est resté le principal vecteur d'attaque où il était possible d'identifier le point d'entrée initial, expliquent les chercheurs, notant que cela était difficile en raison du manque d'enregistrements fiables.
Néanmoins, il y a également eu plusieurs cas où les attaquants ont forcé les services RDP d'une cible.
Il est difficile de dire ce qui a contribué à ce changement ; cependant, il est facile de spéculer sur la façon dont, en partie, il est dû à l'augmentation des travailleurs à distance causée par COVID-19, qui a élargi la surface d'attaque.
Il y a également eu une augmentation des attaques de ransomware Phobos, qui exploitent généralement les connexions RDS compromises comme vecteur initial, mais malgré ces indicateurs, le phishing reste toujours le principal vecteur d'infection.
L'un des principaux impacts de la période de pandémie pour les organisations, notamment celles du secteur de la santé, reste celui lié à leur capacité à répondre aux attaques.
Les politiques de réponse aux incidents antérieures à COVID-19 ne prenaient certainement pas en compte une pandémie en même temps qu'une cyberattaque !
Des facteurs tels que les limitations de bande passante et les personnes chargées de répondre sont rares, mais ont affecté la capacité des organisations à gérer ces types d'attaques,
ce qui explique pourquoi elles ont continué à prospérer.