Barracuda full logo

L'augmentation de la collaboration entre les gangs cybercriminels

Thèmes:
15 sept. 2023
|
Tony Burgess

Vous savez sans doute que l’image stéréotypée des cybercriminels, à savoir des pirates isolés qui travaillent dans une cave pour leur propre satisfaction, pour se faire connaître de leurs pairs ou pour saboter ou voler des cibles particulières, est loin de la vérité.

Aujourd’hui, les gangs de cybercriminels sont à la fois très organisés et très compétents, et ils fonctionnent davantage comme des sociétés de logiciels modernes ou des familles mafieuses. Pour être plus précis, le crime organisé traditionnel a investi le monde du cybercrime, chassant de ce fait les acteurs indépendants.

Certains des gangs les plus connus sont Cobalt, Lazarus, MageCart et Evil Corp.

Spécialisation : le cybercrime

Chacun de ces gangs a sa propre spécialité et ses propres motivations, qui ne sont pas toujours financières.

  • Cl0p est un groupe pionnier dans l’utilisation des ransomwares à des fins de « double extortion ». Le principe consiste à demander une rançon en échange de la clé de déchiffrement, puis à demander un second paiement pour éviter la divulgation des données, qui ont été chiffrées puis dérobées.
  • Avec son offre de ransomware en tant que service, REvil a fait les gros titres ces dernières années après avoir lancé des attaques pour le compte de clients payants et partagé les bénéfices avec eux. Les autorités russes ont affirmé avoir démantelé le groupe en 2022 et arrêté plusieurs de ses membres.
  • L’armée électronique syrienne est considérée comme un groupe hacktiviste, car son objectif principal est la diffusion de propagande et de fake news sur des supports de communication crédibles.
  • DarkSide fournit du cybercrime en tant que service et est connu pour des attaques qui visaient de grandes entreprises et des infrastructures industrielles. Ce gang organise également des forums lors desquels les participants apprennent à améliorer leurs compétences dans le cybercrime, par exemple en combinant stratégiquement différents types d’attaques.
  • MageCart incarne une nouvelle tendance, car il s’agit d’un syndicat composé de divers gangs qui travaillent ensemble. Ce syndicat s’est concentré sur le piratage e-commerce en visant de grandes sociétés comme British Airways et en dérobant les données de cartes de crédit de centaines de milliers de personnes.

Collaboration inter-gangs

Deux rapports récents de Security Intelligence font état de la tendance croissante des gangs à collaborer pour accroître leur efficacité et leurs recettes.

Dans un article de 2019, Security Intelligence remarquait que les données issues du 2019 IBM X-Force Threat Intelligence Index révélaient une collaboration inédite entre des groupes qui ciblaient le secteur bancaire à l’aide de plusieurs types de chevaux de Troie. En particulier, l’étude a révélé que deux chevaux de Troie populaires, TrickBot et IcedID, avaient été modifiés par les gangs respectifs qui les exploitent pour qu’ils fonctionnent en tandem, chacun déposant l’autre dans les systèmes infectés. L’étude précise que si les gangs de cybercriminels copient souvent leurs tactiques respectives, les innovations introduites dans ces deux chevaux de Troie indiquent clairement une collaboration délibérée entre les deux groupes.

En outre, il a été constaté que TrickBot était de plus en plus utilisé pour introduire Ryuk, un type de ransomware qui était à l’époque innovant de par son utilisation d’une reconnaissance sophistiquée pour localiser les données les plus précieuses de ses cibles.

Dans le même rapport, Security Intelligence a identifié d’autres preuves de la collaboration des gangs impliquant l’utilisation des malwares Gozi et Ramnit.

Collaboration en 2022

Dans un rapport de 2022 sur l’IBM X-Force Threat Intelligence Index de cette année-là, Security Intelligence s’est focalisé sur le groupe cybercriminel ITG23, qui a développé TrickBot et continue d’en publier de nouvelles versions.

Dans ce rapport, Security Intelligence a analysé les données concernant l’utilisation de chiffreurs développés par ITG23. Les chiffreurs sont des applications utilisées pour chiffrer les malwares d’une manière qui les rend indétectables par les antivirus.

Leur analyse a révélé que tout au long de l’année dernière, les versions des chiffreurs d’ITG23 étaient largement utilisées par des groupes de cybercriminels autres qu’ITG23, dont les développeurs d’Emotet, d’IcedID, deQakbot et de MountLocker. Ceci indique sans équivoque que ces groupes travaillent en partenariat avec ITG23.

D’autres preuves montrent qu’ITG23 a réduit ou cessé l’utilisation de ses anciens malwares les plus connus, à savoir TrickBot et BazarLoader. Parallèlement, le groupe est passé à la vitesse supérieure dans le développement de chiffreurs en créant à cet effet une machine qui automatise la production de masse des applications de ce type. Ceci indique encore une fois que l’économie du cybercrime évolue vers une collaboration étendue de groupes disparates.

Ce qu’il faut retenir

Qu’est-ce que tout cela signifie pour les entreprises et les professionnels de l’informatique comme vous ? En fin de compte, le contexte des menaces change très rapidement. Les gangs criminels découvrent les concepts de collaboration et de spécialisation et en exploitent l’efficacité. Cela signifie que la vague continue d’attaques par ransomware et de violations de données à grande échelle n’est pas près de disparaître.

Bien entendu, les stratégies et les technologies de sécurité réagiront en développant de nouvelles façons de lutter contre ces attaques, mais les cibles continueront à subir des dommages. Il est essentiel que toutes les organisations comprennent les éléments clés qui permettent une récupération rapide et efficace après une attaque par ransomware, le but étant de réduire les conséquences opérationnelles et d’autres impacts.

  • Entraînez-vous ! Comment réagir efficacement aux incidents de sécurité, sinon en s’entraînant et en se préparant ? Élaborez un plan de réponse qui met à contribution plusieurs rôles et testez-le avec plusieurs scénarios mettant en situation les systèmes les plus précieux et les plus vulnérables de votre organisation.
  • Faites des sauvegardes ! Si vos données sont chiffrées, détruites ou endommagées, le seul facteur de récupération fiable est de pouvoir restaurer ces données à partir d’une sauvegarde le plus rapidement possible. Les solutions avancées comme Barracuda Backup et Cloud-to-Cloud Backup permettent de spécifier facilement et rapidement quels fichiers et/ou serveurs doivent être restaurés et de les récupérer afin de minimiser les temps d’arrêt.
  • Protégez-vous ! Empêchez la grande majorité des attaques d’aboutir en vous assurant que vous avez fait tout ce que vous pouvez pour sécuriser l’entièreté de votre système de messagerie (de loin le principal vecteur d’attaques). Une plateforme de protection des e-mails complète, comme Barracuda Email Protection, combine un antivirus avancé, une protection de la boîte de réception, une protection contre l’usurpation d’identité, une formation de sensibilisation à la sécurité, une réponse automatisée aux incidents et plus encore afin de réduire au minimum les intrusions réussies dans votre système. La sécurité avancée des applications, telle que celle fournie par Barracuda Application Protection, constitue également un moyen puissant de lutter contre les attaques multivecteurs modernes.

Pour obtenir des informations plus détaillées sur l’évolution des ransomwares (informations qui peuvent vous aider à optimiser l’utilisation de vos ressources de cybersécurité), téléchargez le rapport Barracuda 2023 Ransomware Insights.

Rapport : Aperçu des ransomware pour 2023
Tony Burgess

Avec plus de 20 ans d'expérience dans le secteur de la sécurité informatique, Tony Burgess est Senior Copywriter for Content and Customer Marketing de Barracuda.À ce titre, il effectue des recherches sur des sujets techniques complexes et traduit les résultats en une prose claire et compréhensible.

Vous pouvez vous connecter avec Tony sur LinkedIn ici.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.