Les ransomwares sont un vecteur de menace important, qui coûte aux entreprises, aux sociétés et aux opérateurs d'infrastructures des milliards de dollars par an. Derrière ces menaces se cachent des gangs de rançongiciels professionnels qui créent et distribuent des logiciels malveillants qui rendent les attaques possibles.
Certains de ces groupes attaquent directement les victimes, tandis que d'autres utilisent le modèle populaire Ransomware-as-a-Service (RaaS) qui permet aux affiliés d'extorquer des organisations spécifiques.
Avec la menace croissante des ransomwares, connaître l'ennemi et son fonctionnement est le seul moyen de garder une longueur d'avance. Voici donc une liste des cinq groupes de rançongiciels les plus meurtriers qui perturbent le paysage de la cybersécurité.
1. REvil
Le groupe de rançongiciels REvil, alias Sodinokibi, est un groupe basé en Russie rançongiciel en tant que service (RaaS) opération apparue pour la première fois en avril 2019. Il est considéré comme l'un des groupes de rançongiciels les plus impitoyables avec des liens avec l'Agence des services fédéraux russes (FSB).
Le groupe a rapidement attiré l'attention des professionnels de la cybersécurité pour ses prouesses techniques et son audace à s'attaquer à des cibles de premier plan. 2021 a été l'année la plus rentable pour le groupe car il a ciblé plusieurs entreprises multinationales et a perturbé plusieurs industries.
Principales victimes
En mars 2021, REvil a attaqué la société d'électronique et de matériel Acer et compromis ses serveurs. Les attaquants ont exigé 50 millions de dollars pour une clé de déchiffrement et ont menacé d'augmenter la rançon à 100 millions de dollars si l'entreprise ne répondait pas aux demandes du groupe.
Un mois plus tard, le groupe a mené une autre attaque très médiatisée contre le fournisseur d'Apple, Quanta Computers. Il a tenté de faire chanter Quanta et Apple, mais aucune des deux sociétés n'a payé la rançon demandée de 50 millions de dollars.
Le groupe de rançongiciels REvil a poursuivi sa frénésie de piratage et a ciblé JBS Foods, Invenergy, Kaseya et plusieurs autres entreprises. JBS Foods a été contraint de fermer temporairement ses opérations et a payé une rançon estimée à 11 millions de dollars en Bitcoin pour reprendre ses activités.
La Attaque de Kaseya a attiré une attention indésirable sur le groupe car il affectait directement plus de 1 500 entreprises dans le monde. Suite à des pressions diplomatiques, les autorités russes ont arrêté plusieurs membres du groupe en janvier 2022 et saisi des actifs d'une valeur de plusieurs millions de dollars. Mais cette perturbation fut de courte durée car le Le gang de rançongiciels REvil est de nouveau opérationnel depuis avril 2022.
2. Conti
Conti est un autre gang tristement célèbre de rançongiciels qui fait la une des journaux depuis fin 2018. Il utilise le méthode de double extorsion, ce qui signifie que le groupe conserve la clé de déchiffrement et menace de divulguer des données sensibles si la rançon n'est pas payée. Il gère même un site Web de fuite, Conti News, pour publier les données volées.
Ce qui différencie Conti des autres groupes de rançongiciels, c'est l'absence de limites éthiques sur ses cibles. Il a mené plusieurs attaques dans les secteurs de l'éducation et de la santé et a exigé des millions de dollars de rançon.
Principales victimes
Le groupe de rançongiciels Conti cible depuis longtemps les infrastructures publiques critiques telles que la santé, l'énergie, l'informatique et l'agriculture. En décembre 2021, le groupe a signalé avoir compromis la banque centrale indonésienne et volé des données sensibles d'un montant de 13,88 Go.
En février 2022, Conti a attaqué un opérateur international de terminaux, SEA-invest. La société exploite 24 ports maritimes à travers l'Europe et l'Afrique et est spécialisée dans la manutention de vrac sec, de fruits et de denrées alimentaires, de vrac liquide (pétrole et gaz) et de conteneurs. L'attaque a touché l'ensemble des 24 ports et provoqué d'importantes perturbations.
Conti avait également compromis les écoles publiques du comté de Broward en avril et exigé une rançon de 40 millions de dollars. Le groupe a divulgué des documents volés sur son blog après que le district ait refusé de payer la rançon.
Plus récemment, le président costaricien a dû déclarer une urgence nationale suite aux attaques de Conti contre plusieurs agences gouvernementales.
3. Côté obscur
Le groupe de rançongiciels DarkSide suit le modèle RaaS et cible les grandes entreprises pour extorquer de grosses sommes d'argent. Pour ce faire, il accède au réseau d'une entreprise, généralement par hameçonnage ou force brute, et crypte tous les fichiers sur le réseau.
Il existe plusieurs théories concernant les origines du groupe de rançongiciels DarkSide. Certains analystes pensent qu'il est basé en Europe de l'Est, quelque part en Ukraine ou en Russie. D'autres pensent que le groupe possède des franchises dans plusieurs pays, dont l'Iran et la Pologne.
Principales victimes
Le groupe DarkSide fait d'énormes demandes de rançon mais prétend avoir un code de conduite. Le groupe affirme qu'il ne cible jamais les écoles, les hôpitaux, les institutions gouvernementales et toute infrastructure qui affecte le public.
Cependant, en mai 2021, DarkSide a réalisé le Attaque du pipeline colonial et a exigé 5 millions de dollars de rançon. Il s'agissait de la plus grande cyberattaque contre des infrastructures pétrolières de l'histoire des États-Unis et a perturbé l'approvisionnement en essence et en carburéacteur dans 17 États.
L'incident a déclenché des conversations sur la sécurité des infrastructures critiques et sur la manière dont les gouvernements et les entreprises doivent faire preuve de plus de diligence pour les protéger.
Après l'attaque, le groupe DarkSide a tenté d'effacer son nom en blâmant des tiers affiliés pour l'attaque. Cependant, selon Le Washington Post, le groupe a décidé de mettre fin à ses opérations suite à la pression croissante des États-Unis.
4. DoppelPaymer
Le ransomware DoppelPaymer est un successeur du ransomware BitPaymer qui est apparu pour la première fois en avril 2019. Il utilise la méthode inhabituelle d'appeler les victimes et d'exiger une rançon en bitcoins.
DoppelPaymer prétend être basé en Corée du Nord et suit le modèle du rançongiciel à double extorsion. L'activité du groupe a décliné des semaines après l'attaque du Colonial Pipeline, mais les analystes pensent qu'il s'est rebaptisé le groupe Grief.
Principales victimes
DopplePaymer cible fréquemment les compagnies pétrolières, les constructeurs automobiles et les industries critiques telles que la santé, l'éducation et les services d'urgence. C'est le premier logiciel de rançon qui a causé la mort d'un patient en Allemagne après que le personnel des services d'urgence n'a pas pu communiquer avec l'hôpital.
Le groupe a fait la une des journaux en publiant des informations sur les électeurs du comté de Hall, en Géorgie. L'année dernière, il a également compromis les systèmes en contact avec les clients de Kia Motors America et volé des données sensibles. Le groupe a exigé 404 bitcoins en rançon, soit environ 20 millions de dollars à l'époque.
5. LockBit
LockBit a récemment été l'un des gangs de rançongiciels les plus importants, grâce au déclin d'autres groupes. Depuis sa première apparition en 2019, LockBit a connu une croissance sans précédent et a considérablement fait évoluer ses tactiques.
LockBit a commencé comme un gang discret au départ, mais a gagné en popularité avec le lancement de LockBit 2.0 fin 2021. Le groupe suit le modèle RaaS et utilise la double tactique d'extorsion pour faire chanter les victimes.
Principales victimes
LockBit est actuellement un groupe de ransomwares percutant, représentant plus de 40 % de toutes les attaques de ransomwares en mai 2022. Il attaque des organisations aux États-Unis, en Chine, en Inde et en Europe.
Plus tôt cette année, LockBit a ciblé Thales Group, une multinationale française de l'électronique, et a menacé de divulguer des données sensibles si l'entreprise ne répondait pas aux demandes de rançon du groupe.
Il a également compromis le ministère français de la Justice et crypté leurs fichiers. Le groupe affirme désormais avoir violé le fisc italien (L'Agenzia delle Entrate) et volé 100 Go de données.
Protection contre les attaques de ransomwares
Les ransomwares continuent d'être une industrie florissante du marché noir, générant chaque année des milliards de dollars de revenus pour ces gangs notoires. Compte tenu des avantages financiers et de la disponibilité croissante du modèle RaaS, les menaces ne font que croître.
Comme pour tout malware, être vigilant et utiliser un logiciel de sécurité approprié sont des étapes dans la bonne direction pour lutter contre les ransomwares. Si vous n'êtes pas encore prêt à investir dans un outil de sécurité premium, vous pouvez utiliser les outils de protection contre les ransomwares intégrés de Windows pour protéger votre PC.