Le rythme des ransomwares s'arrête

Version imprimable, PDF et e-mail

La justice avance peut-être très lentement mais dans le domaine des ransomwares, il semble que le rythme des arrestations de cybercriminels s'accélère.

Le ministère de la justice américain a mis en examen Yaroslav Vasinskyi, un citoyen ukrainien arrêté alors qu'il était en Pologne et l'accuse d'avoir participé à plusieurs attaques par ransomware, dont la fameuse attaque qui a ciblé Kaseya (à l'aide du ransomware Sodinokibi/REvil).

Le ministère de la justice a également annoncé avoir saisi 6,1 millions de dollars, qui proviendraient de paiements de rançons reçus par Yevgeniy Polyanin, citoyen russe, également accusé d'avoir participé aux attaques par ransomware Sodinokibi/REvil, qui ont fait plusieurs victimes, dont des entreprises et des organismes gouvernementaux au Texas.

Dans une autre affaire, les États-Unis cherchent à obtenir l'extradition de Denis Dubnikov, un citoyen russe accusé de blanchiment d'argent en lien avec des attaques par ransomware contre plusieurs hôpitaux américains. Il est actuellement détenu aux Pays-Bas à la demande du FBI et, d'après son avocat, est accusé d'avoir reçu plus de 400 000 $ en cryptomonnaies dans le cadre de paiements de rançons.

Ces actions font suite à une série d'arrestations qui ont eu lieu au cours des dernières semaines. De plus, le ministère des finances américain travaille d'arrache-pied pour convaincre ses alliés de renforcer l'application des lois conçues pour l'imiter l'utilisation des cryptomonnaies dans le paiement des rançons, alors que le secrétaire adjoint au trésor américain, Wally Adeyemo est en visite au Moyen-Orient.

Il est difficile de savoir dans quelle mesure ces actions permettront de réduire le volume des attaques par ransomware. Europol a publié son rapport annuel 2021 sur l'évaluation de la menace du crime organisé sur Internet (« Internet Organised Crime Threat Assessment », ou IOCTA). Celui-ci souligne notamment que les montants des rançons ont augmenté l'année dernière mais aussi que les paiements sont de plus en plus sophistiqués. Le rapport indique en outre que les cybercriminels passent plus de temps à l'intérieur des réseaux, à la recherche de cibles et à demander des privilèges plus élevés, à l'aide d'exploits tels que Metasploit, Cobalt Strike et Mimikatz, pour diffuser latéralement des logiciels malveillants.

Le rapport avertit également que les cybercriminels commencent désormais à utiliser des logiciels malveillants sans fichier pour passer outre les méthodes de détection courantes qui détectent les pièces jointes malveillantes ou la création de nouveaux fichiers. Les attaques par ransomware sans fichier utilisent des langages de script natifs pour écrire un code malveillant directement dans la mémoire système ou utilisent des outils présents dans le système, tels que PowerShell, pour chiffrer des fichiers.

Un autre rapport, publié par Ivanti, Cyber Security Works et Cyware constate une augmentation de 4,5 % du nombre de vulnérabilités et d'expositions communes associées aux ransomwares et une augmentation similaire de 4,5 % des vulnérabilités activement exploitées et tendancielles au cours du seul troisième trimestre. On constate également une augmentation de 3,4 % du nombre de familles de ransomwares découvertes et une augmentation de 1,2 % des anciennes vulnérabilités désormais utilisées dans les attaques par ransomware.

La pression exercée par les organismes chargés de l'application de la loi dans le monde entier ne cessant de croître, il est probable que de plus en plus de groupes de cybercriminels chercheront à dissimuler encore davantage leurs activités. Cela ne signifie pas que le nombre d'attaques par ransomware va diminuermais simplement que les cybercriminels ne se rendront pas dans des pays où ils peuvent être facilement mis en examen. En fait, il se peut que la guerre du ransomware soit entrée dans une nouvelle phase, où les attaques elles-mêmes peuvent être simultanément moins audacieuses mais néanmoins plus fatales que jamais.

Remonter en haut de page
Tweeter
Partager
Partager