Quand les attaques réussissent, les pirates ne lâchent pas leur proie. En 2024, le montant des rançons est en augmentation, selon une étude de Chainalysis, acteur américain de la blockchain. La facture globale mondiale aurait même dépassé le milliard de dollars en 2023. Les TPE et PME, qui disposent de moins de moyens financiers et humains que les grosses structures, sont les plus vulnérables.
Le rapport de SentinelOne souffle le chaud et le froid sur les ransomwares (rançongiciels en bon français) dans le cloud. D’une part, les entreprises paient de moins en moins les rançons exigées et d’autre part, elles sont mieux équipées pour se défendre aujourd'hui qu'au cours des années précédentes.
SeintinOne précise cependant que son rapport ne couvre pas les attaques contre les infrastructures cloud hébergées sur site, telles que l’hyperviseur VMWare ESXi.
Une liste inquiétante d’outils malveillants ciblant les applications web
Un des intérêts du rapport repose sur la description des outils utilisés par les pirates pour cibler les serveurs web avec des rançongiciels ou pour exploiter les autres services cloud afin de télécharger des fichiers avant de les chiffrer.Ainsi, SentinelLabs a identifié plusieurs scripts de rançon qui ciblent les applications PHP. Par exemple, Pandora, un script Python, un outil ciblant une variété de services web (à ne pas confondre avec le groupe de ransomwares Pandora qui cible Windows). Le script Pandora utilise le chiffrement AES et s’attaque aux serveurs PHP, Android et Linux. Ce rançongiciel PHP chiffre les fichiers via la bibliothèque OpenSSL. Le script Pandora, écrit en python, s'exécute sur le serveur web et génère le code PHP dans le chemin d’accès pandora/Ransomware avec un nom de fichier fourni comme argument au moment de l'exécution, complété par l'extension .php.
La campagne 2023 du groupe pirate Cl0p ransomware, a exploité une vulnérabilité par injection SQL dans l'application de transfert de fichiers gérée MoveIT de Progress Software. C’est un exemple notable d'une combinaison malveillante entre un serveur web et un ransomware dans le cloud. Les acteurs ont ciblé les fichiers hébergés dans le stockage blob Azure lorsqu'ils étaient présents dans cet environnement.Les groupes pirates BianLian et Rhysida utilisent désormais Azure Storage Explorer pour exfiltrer les données des environnements des victimes à la place des outils désormais classiques
tels MEGAsync et rclone.
RansomES est un autre script redoutable en Python, conçu pour s'exécuter sur un système Windows à la recherche des extensions de fichiers .doc, .xls, .jpg, .png ou .txt. Le script fournit ensuite à l'acteur malveillant des méthodes pour exfiltrer les fichiers vers S3, le service de stockage objet d’Amazon ou via FTP, puis les crypter ensuite.
SentinelOne recommande d’adopter une politique de sécurité CSPM (Cloud Security Posture Management) pour automatiser et unifier l’identification et la résolution des problèmes de configuration sur les services IaaS, PaaS et SaaS.