NOUVELLE STRATÉGIE POUR POUSSER LE PAIEMENT DU RANSOMWARE BITCOIN

 

La création de sites spécialement conçus pour filtrer les données volées est une stratégie qui prend de l’ampleur en 2020. Elle commence par l’utilisation de virus informatiques pour détourner les fichiers des entreprises et des grandes entreprises et exiger le paiement d’une rançon, une pratique connue sous le nom de ransomware.

La nouveauté dans les nouveaux cas est que, si l’argent n’est pas reçu, les hackers rendent publiques les informations confidentielles des entreprises attaquées sur des sites Web sombres (darknet). L’objectif est de faire pression sur les victimes pour qu’elles soient obligées de payer pour leur rançon de données.

Les pirates espèrent que les coûts associés aux violations de données pourraient inciter davantage de victimes à payer le montant requis. En effet, la fuite peut conduire les entreprises à faire face à des sanctions réglementaires, à des atteintes à la réputation et à des poursuites judiciaires pour la divulgation d’informations de tiers. Leur cours de bourse peut également être affecté par la perte de propriété intellectuelle.

La pratique de la fuite de données a été lancé en novembre 2019 par les pirates derrière le ransomware Maze, dans une tentative de forcer la reddition de Bitcoin en échange des fichiers.

À cette date, ils ont publié près de 700 Mo de données volées à Allied Universal, une société de services de sécurité de Californie, aux États-Unis.Il ne s’agissait que d’une partie de 5 Go de données détournées pour lesquelles ils ont demandé un paiement de 300 bitcoins.

Sur ce site, le ransomware Maze a commencé à filtrer les données volées à ses victimes. Source: bleepingcomputer.com

Par la suite, ils ont publié les données de nombreuses entreprises via des forums de hackers et, enfin, sur un site dédié spécifiquement aux fuites.

En voyant ces exemples, les autres opérateurs de ransomware ont utilisé la même tactique d’extorsion. Ils ont commencé par filtrer les fichiers volés sur les forums ou envoyer des e-mails aux médias. Peu après des sites Web sombres ont émergé dédié uniquement aux fuites.

Aujourd’hui, les sites de fuite de données volées se sont multipliés. La société de sécurité Emisisoft estime que, au cours des six premiers mois de 2020, plus de 11% des infections par ransomware impliquaient potentiellement une violation de données.

Selon Raj Samani, scientifique en chef de la société de sécurité McAfee et conseiller en cybersécurité chez Europol, l’adoption rapide des sites de violation de données pourrait être due au fait que de moins en moins de victimes choisissent de payer ce que les attaquants exigent.

Le nouveau ransomware Avaddon rejoint la liste des fuites

Suivant la tendance du vol et de la fuite de données, les opérateurs de ransomware Avaddon ont créé cette semaine un nouveau site de violation de données sur le dark web. Là, ils publieront les fichiers volés des victimes qui décident de ne pas payer la rançon.

En annonçant leur nouveau site, identifié comme “Avaddon Info”, le groupe ajoute à la liste ransomware qui utilisent cette stratégie comme un mécanisme pour faire pression sur leurs victimes.

L’information, publiée dans le média spécialisé Bleeping Computer le 10 août, a été publiée par la société israélienne de cybersécurité, Kela. Il explique que la ligne d’action d’Avaddon est la même que celle utilisée par Maze et d’autres hackers.

Jusqu’à présent, ils ont inclus une seule victime sur le nouveau site, une entreprise de construction dont ils ont divulgué 3,5 Mo de documents prétendument volés.

“Ils ont publié un échantillon des données obtenues, avec des informations relatives à l’activité de l’entreprise au Royaume-Uni, au Mexique, aux Philippines, en Malaisie et en Thaïlande”, selon les déclarations de Kela.

Un échantillon de données volées à une entreprise de construction a été publié sur le nouveau site de rançongiciel Avaddon. Source: bleepingcomputer.com

Avaddon est un ransomware récent. Il est connu depuis juin 2020 et est diffusé via une campagne massive de spam. Les logiciels malveillants s’intègrent dans les e-mails avec un fichier JavaScript malveillant déguisé en fichier image .jpg.

Liste des ransomwares avec des sites de fuite de données

On estime que les sites de violation de données volés sont actuellement gérés par plus d’une douzaine d’opérateurs de ransomwares. En plus de ceux déjà mentionnés, Avaddon et Maze, certains d’entre eux sont listés ci-dessous.

AKO

Il a commencé à fonctionner en janvier 2020. Ako exige que les plus grandes entreprises disposant d’informations plus précieuses paient une rançon et une extorsion supplémentaire pour supprimer les données volées. Si le paiement n’est pas effectué, les données de la victime ils sont publiés sur son «Blog de fuite de données».

CL0P

Il a commencé comme une variante de CryptoMix et est rapidement devenu le ransomware de choix pour un groupe d’APT connu sous le nom de TA505. Ce groupe a attaqué 267 serveurs de l’Université de Maastricht. En mars 2020, CL0P a lancé un site de fuite de données appelé ‘CL0P ^ -LEAKS‘, Où ils publient les données des victimes.

DoppelPaymer

Connu depuis juillet 2019, DoppelPaymer ou BitPaymer cible ses victimes via des piratages de bureau à distance et l’accès fourni par le cheval de Troie Dridex. En février 2020, a lancé un site de filtrage dédié qu’ils appellent «Dopple Leaks».

Nemty

Connu depuis janvier 2019 sous le nom de Ransomware-as-a-Service (RaaS) appelé JSWorm, il a été renommé Nemty en août de l’année dernière. En mars 2020, Nemty a créé un site de violation de données pour publier les données des victimes.

Nephilim

En mars dernier, Nemty a créé une équipe affiliée pour un Ransomware-as-a-Service privé appelé Nephilim. Le ransomware est né en recrutant uniquement des pirates et des distributeurs de logiciels malveillants expérimentés. Peu après, a créé un site intitulé “Corporate Leaks” ils utilisent pour publier les données volées.

NetWalker

En mai 2020, NetWalker, également connu sous le nom de Mailto, a commencé à recruter des affiliés en proposant des paiements importants et un site d’auto-publication de fuite de données. Utilisez un compte à rebours pour essayer d’effrayer les victimes et les forcer à payer.

Pysa (Mespinoza)

Il est apparu en octobre 2019. En novembre, il a changé l’extension de cryptage de fichier de .locked à .pysa. En 2020, ils ont créé un site de violation de données appelé «Pysa Homepage» où ils publient les fichiers volés de leurs «partenaires» si la rançon n’est pas payée.

Casier Ragnar

Connu depuis février 2020, ce ransomware a attiré l’attention des médias après avoir chiffré le géant de l’énergie portugais Energías de Portugal, demandant une rançon de 1580 bitcoins. Il y a quelques jours, ils ont attaqué la multinationale de gestion de voyages CWT, qui a fini par payer 4,5 millions de dollars en bitcoins. Ragnar Locker a un site Web appelé «Ragnar Leaks News» où ils publient les données volées.

REvil / Sodinokibi

Il fonctionne depuis avril 2019 et est le successeur de GandCrab. Après que Maze a commencé à publier des fichiers volés, Sodinokibi a fait de même. Il a d’abord publié les données volées sur un forum de hackers, puis a lancé un site dédié aux violations de données appelé «Happy Blog».

Sekhmet

Il est apparu en mars 2020 ciblant les réseaux d’entreprise. Les opérateurs de Sekhmet ont créé un site Web intitulé «Leaks, Leaks and Leaks», où ils publient des données volées à des victimes qui ne paient pas la rançon.

AKO ransomware a publié une archive de 134 pages d’informations personnelles sur la santé d’une clinique de gestion de la douleur sur son «blog de fuite de données» après que l’entreprise n’a pas payé la rançon. Source: DataBreaches.net

Les victimes cèdent-elles à la pression et paient-elles pour des bitcoins de ransomware?

Le but des sites de fuite suit souvent un chemin croissant conçu pour augmenter la pression psychologique sur les personnes ciblées.

Dans une première phase le site de fuite ne répertorie que les victimes récentes, promettant de retirer les noms de la liste s’ils acceptent de payer une rançon. S’ils ne reçoivent pas l’argent (généralement des bitcoins), commencez à filtrer certains échantillons des données volées. Enfin, s’il n’y a pas de paiement, tout est téléchargé en ligne.

Quant à savoir si cette pression a généré un plus grand nombre de paiements de rançon, de nombreux chercheurs indiquent qu’ils ne sont pas sûrs, car il n’y a pas de chiffres clairs. Cependant, il y a un groupe qui croit que la stratégie réussit.

«C’est en novembre 2019 que nous avons vu les premiers exemples de fuites de sites, et cela a été copié et répliqué parce que c’est réussi. Le fait que plus de gens paient plus de rançons signifie que cela ne disparaîtra pas », déclare Raj Sammani de McAfee.

«C’est un jeu pour maximiser les salaires», déclare l’expert en cybersécurité Jake Williams, président de la société de sécurité Rendition Infosec. «Si une tactique fonctionne, attendez-vous à ce que les pirates l’utilisent. Mais il n’est pas encore clair si menacer les victimes de violations de données est une stratégie efficace.

Comme le rapporte récemment CriptoNoticias, un rapport de la firme Coverware, spécialisée dans la recherche en cybersécurité, montre que le paiement moyen des attaques de ransomwares au cours du deuxième trimestre 2020 était de 178.254 USD. Dans la plupart des cas, les paiements sont demandés en bitcoin.

L’argent moyen payé pour les données de rançon volées lors d’attaques de ransomwares a considérablement augmenté depuis la fin de 2019. Source: coveware.

En plus de la violation de données, il y a des indications claires que les pirates vendent les informations sur les marchés du darknet. Là, les données sont vendues aux enchères au plus offrant.

«Cette évolution n’est pas du tout surprenante», déclare Brett Callow, analyste des menaces chez Emsisoft. “Le vol de données fournit aux groupes de ransomwares des options de monétisation supplémentaires.”

Source : C’est pas mon idée !