Si vous êtes comme moi, j’imagine que vous avez du mal à rester au fait l’actualité du ransomware. Le trimestre dernier, il semble que chaque semaine, une nouvelle variante soit apparue ou qu’un incident ait fait la une des médias. Il y a eu le ransomware Snake qui a frappé Honda et Sodinikibi qui s’en est pris à Elexon. Et d’autres encore. La liste n’en finit pas…
Les auteurs de ransomware ont pris conscience qu’il existait d’autres façons de monétiser les données qu’ils chiffraient, qui s’avèrent d’ailleurs d’excellents moyens pour faire pression sur les sociétés et les inciter à payer la rançon. Cette nouvelle tendance a conduit à l’apparition de nombreux sites hébergeant des dumps des données exfiltrées par les ransomware. Soit la victime paie, soit ses données sont exposées à tout venant : ajoutée à la prolifération de nouvelles variantes, cette tendance fait du ransomware un sujet de préoccupation majeur – à juste titre d’ailleurs.
Mais comme vous avez sans doute suffisamment de tracas, j’ai préféré vous montrer comment nous pouvons aider les équipes de sécurité à mettre les données que nous collectons sur les dernières tendances du ransomware au service de leurs opérations. Selon moi, le renforcement de ces opérations comporte trois volets :
- Communication des risques liés aux tiers : identification des dumps de données associés aux fournisseurs
- Priorisation de l’application des patchs : recherche des vulnérabilités associées
- Anticipation des menaces : identification précoce des discussions et annonces relatives aux nouvelles variantes
ESSOR DU RANSOMWARE « D’EXFILTRATION »
Au moment d’entamer la rédaction de cet article de blog, j’avais l’intention d’y répertorier toutes les variantes de ransomware observées au cours du deuxième trimestre 2020. Je me suis rendue compte que ce serait aussi ennuyeux pour moi que pour le lecteur. J’ai donc décidé de me concentrer sur l’essentiel et l’aspect intéressant du ransomware, à savoir l’exfiltration de données.
Comme je l’ai mentionné dans l’introduction, ce sont des variantes telles que DoppelPaymer, Sodinokibi, Nefilim, Nemty, NetWalker et Maze qui ont tout particulièrement retenu mon attention. Ces variantes ne se contentent pas d’exfiltrer les données et de menacer les victimes de divulguer publiquement leurs données si la rançon n’était pas payée : elles diffusent la nouvelle.
Notre équipe de Threat Intelligence a surveillé de près les sites web en question pour déterminer s’ils mentionnaient des noms de sociétés spécifiques, auquel cas celles-ci ont probablement été victimes des variantes de ransomware associées à ces sites.
1. IDENTIFICATION DES DUMPS DE DONNÉES ASSOCIÉS AUX FOURNISSEURS
Comme vous pouvez le voir dans le graphique ci-dessus, Digital Shadows surveille un grand nombre de sites de dumps associés au ransomware. Naturellement, les équipes de sécurité avec lesquelles nous collaborons ont besoin de cette visibilité pour savoir si leurs fournisseurs ont été mentionnés sur l’un de ces blogs. Un exemple d’alerte signalant la mention d’une société est illustré ci-après.
Capture d’écran d’une alerte « tipper » signalant l’attaque d’une société par un ransomware
Près de 80 % des alertes de Threat Intelligence de Digital Shadows concernent les blogs de dumps de trois ransomware seulement : DoppelPaymer, Sodinokibi et Maze.
DoppelPaymer Actif depuis 2019, DoppelPaymer partage l’essentiel de son code avec la variante de ransomware BitPaymer, exploitée par le groupe cybercriminel Indrik Spider (également associé au cheval de Troie bancaire Dridex). Les noms des victimes sont publiés sur le blog Doppel Leaks.
Maze Variante d’un ransomware précédemment appelé ChaCha, Maze n’a toutefois commencé à attirer l’attention et à se faire connaître qu’en novembre dernier. Ce groupe est connu pour usurper l’identité d’entités gouvernementales dans des e-mails de spear phishing afin de propager la charge active de Maze. Les noms des victimes de ce ransomware sont publiés sur le blog Maze News (même si, depuis, Maze s’est également associé à des variantes telles que Ragnar).
Sodinokibi Même si le collectif d’opérateurs du ransomware Maze a fortement contribué au lancement de cette nouvelle tendance, Sodinokibi s’est enrichi de plusieurs améliorations qui le placeront probablement en tête du peloton. Le 15 mai 2020, le groupe Sodinokibi a publié sur Happy Blog – le site du Dark Web qu’il utilise pour divulguer les données des victimes –, un article intitulé « Press release #1 » (« communiqué de presse 1 » en français). Ce soi-disant communiqué visait explicitement deux victimes qui avaient convenu dans un premier temps de verser une rançon, avant de faire marche arrière et de recruter des équipes de sécurité pour récupérer leurs fichiers sans payer celle-ci. En plus de montrer du doigt les victimes, le groupe a annoncé la nullité des négociations précédentes et le doublement des rançons demandées, soit respectivement 15 et 42 millions de dollars. Au cours de la même semaine, il a publié trois communiqués de presse adressés au cabinet d’avocats Grubman, Shire, Meiselas & Sacks et révélé qu’il s’était emparé de données concernant le président Donald Trump. Il a menacé de publier ces dernières si une rançon n’était pas versée.
Le 2 juin 2020, le groupe Sodinokibi a publié, toujours sur Happy Blog, un article annonçant la mise en service d’une nouvelle fonctionnalité de vente aux enchères sur leur page. Il a déclaré ne pas vouloir perdre de l’argent si les victimes refusaient de payer et avoir l’intention de vendre leurs données aux enchères par petits blocs afin de récupérer les fonds qu’il aurait normalement dû obtenir. Le 26 juin 2020, il a publié la totalité des données exfiltrées du cabinet Grubman, Shire, Meiselas & Sacks sur sa page de vente aux enchères au prix de départ de 21 millions de dollars, soit la rançon initialement négociée. Dès le 2 juillet 2020, il a commencé à publier sur cette page du contenu issu de plusieurs dossiers du cabinet d’avocats, en offrant aux acheteurs la possibilité d’acquérir toutes les données disponibles concernant un client spécifique du cabinet. Ce dernier compte parmi ses clients des chanteurs, des sportifs professionnels, des maisons de disques et des producteurs. Le groupe Sodinokibi a également indiqué que les données sur le président Donald Trump feraient partie des dernières à être divulguées, en raison de leur prix plus élevé. Il a affirmé qu’il publierait chaque semaine une partie des données sur sa page d’enchères et ajouté que d’autres dossiers du cabinet d’avocats seraient prochainement mis en vente. À chaque lot publié était associé un prix « éclair » qu’un seul utilisateur pouvait payer pour remporter automatiquement l’enchère et se procurer les données. Selon le collectif, un tel scénario permettrait aux clients du cabinet d’acheter leurs propres données et ainsi d’éviter leur divulgation ou leur utilisation à des fins malveillantes.
Outre les communiqués de presse et la page de vente aux enchères, le groupe Sodinokibi, ou les utilisateurs qui le représentent, ont à maintes reprises publié des propositions de partenariat sur divers sites cybercriminels. De toute évidence, il a suivi les traces du collectif Maze pour ce qui est de la création d’un site de divulgation de données, mais en apportant sans tarder plusieurs innovations, sans doute afin de renforcer sa prévalence en tant que menace, de se distinguer d’autres groupes de ransomware et d’assurer sa prospérité.
2.RECHERCHE DES VULNÉRABILITÉS ASSOCIÉES
En plus d’identifier les fournisseurs mentionnés sur ces blogs, une autre forme de threat intelligence directement exploitable consiste à comprendre les vulnérabilités associées aux différentes variantes. Nous avons déjà abordé sur ce blog quelques-unes des principales vulnérabilités exploitées, mais les chercheurs ont pu relier certaines d’entre elles à des variantes spécifiques. (Il ne s’agit pas d’une liste exhaustive des vulnérabilités exploitées dès lors que nombre d’entre elles sont également distribuées par divers kits d’exploit.)
CVE-2014-6287 (Lucifer)
CVE-2015-1701 (NetWalker)
CVE-2017-021 (NetWalker)
CVE-2017-10271 (Lucifer)
CVE-2017-0144 (Lucifer)
CVE-2017-0145 (Lucifer)
CVE-2017-8464 (Lucifer)
CVE-2017-9791 (Lucifer)
CVE-2018-1000861 (Lucifer)
CVE-2018-20062 (Lucifer)
CVE-2018-7600 (Lucifer)
CVE-2018-8174 (Maze)
CVE-2018-8453 (Sodinokibi)
CVE-2019-11510 (Maze)
CVE-2019-19781 (Maze)
CVE-2019-1458 (NetWalker)
CVE-2019-2725 (Sodinokibi)
CVE-2019-9081 (Lucifer)
CVE-2020-0796 (NetWalker)
Il n’est pas rare de voir ces vulnérabilités CVE mentionnées sur des forums cybercriminels, comme illustré ci-dessous. En déterminant le nombre d’occurrences de ces vulnérabilités dans les discussions des forums cybercriminels et en combinant ces informations à d’autres facteurs, les équipes de sécurité bénéficient d’un contexte utile pour établir une priorité dans l’application des patchs.
3. IDENTIFICATION PRÉCOCE DES NOUVELLES DISCUSSIONS ET ANNONCES SUR LES FORUMS CYBERCRIMINELS
Enfin, pour ceux qui cherchent à obtenir au plus vite des renseignements sur les variantes récentes ou à venir, il est possible d’identifier les annonces publiées sur les forums cybercriminels. Deux exemples d’annonce sont illustrés ci-dessous : une d’août 2019 qui concerne le ransomware Nemty et une de février 2020 qui concerne le ransomware Thanos. Ces messages fournissent souvent des détails sur la variante elle-même, ainsi que sur les modèles de partenariat proposés. Le suivi de ces discussions permet de se faire une idée de la popularité naissante d’une variante donnée.
ACCÈS À LA THREAT INTELLIGENCE DE SEARCHLIGHT SUR LES TENDANCES EN MATIÈRE DE RANSOMWARE
Il est souvent difficile de se tenir informé des dernières tendances en matière de ransomware, et surtout facile de se laisser submerger par un déluge d’informations. En mettant en avant certains cas d’utilisation, vous pouvez obtenir des informations pertinentes et directement exploitables sur ces tendances.
Si vous êtes un client Digital Shadows, vous pourrez utiliser l’expression de recherche suivante pour définir des alertes relatives aux nouvelles instances de dumps de données sur les sites de ransomware : ransomware dumps. Si vous n’êtes pas client, pas de problème. Il suffit de vous inscrire à notre Test Drive pour découvrir les fonctionnalités de SearchLight par vous-même.