De plus en plus d’organisations sont touchées par des ransomwares. Ce type de virus existent déjà depuis de nombreuses années, mais leur exploitation s’est fortement accentuée ces derniers mois. Principale raison selon un rapport d’Accenture : le marché florissant de la revente d’accès à des réseaux d’entreprises.
Le ransomware est devenu l’ennemi public n° 1 des entreprises. En cas d’infection, elles voient leurs activités plus ou moins bloquées et le « nettoyage » de leur SI nécessite des jours, voire des semaines. Sans parler du risque de voir les données volées mises en vente sur le dark web…
Ce type d’attaques s’est multiplié ces derniers mois, car il y a dorénavant un marché très lucratif qui réunit revendeurs d’accès à des SI et gangs spécialisés dans les ransomwares.
Des chercheurs d'Accenture suivent de plus près les 25 « vendeurs d'accès aux réseaux » les plus connus ou actifs. Il s’agit de personnes spécialisées dans la violation des réseaux d'une organisation et qui remettent cet accès au plus offrant.
Ces individus fréquentent les mêmes forums clandestins que les personnes impliquées dans la prolifération de ces logiciels de rançon comme NetWalker et Maze.
Des appels d’offres pour recruter de nouveaux cybercriminels
« La vente d'accès au réseau a progressé, passant d'une offre souterraine de niche tout au long de 2017 à un pilier central de l'activité criminelle souterraine en 2020 », constatent les chercheurs d'Accenture. Leur étude démontre que ces mercenaires interagissent de plus en plus avec les gangs de ransomwares.
« Nous avons observé une rare occasion où un vendeur d'accès a nommé sa victime sur un forum, et plusieurs mois plus tard, la même victime est apparue sur le site web de NetWalker “name-and-shame” », a déclaré un membre d’Accenture.
Malgré une série de démantèlements par le FBI et d'autres organismes, les forums de vente d'outils de piratage et d'accès aux réseaux continuent de prospérer, selon Accenture.
Les chercheurs citent le cas d'un annonceur russophone qui avait vendu un exploit de type « Zero-day » pour un serveur de messagerie électronique pour 250 000 dollars. Mais l'annonceur a décidé d'utiliser l'exploit lui-même, puis de vendre l'accès au réseau à diverses bandes parce que cela était probablement plus rentable financièrement.
Ce rapport cite aussi de vastes appels d’offres pour recruter de nouveaux cybercriminels. En décembre dernier, un administrateur du forum russophone XSS a annoncé un « concours » financé par des personnes affiliées au ransomware Sodinokibi, selon Digital Shadows.
L’heureux gagnant se serait vu offrir la possibilité de « travailler avec » l'équipe Sodinokibi dans des « conditions mutuellement bénéfiques », a déclaré Kacey Clark, responsable de l'équipe de recherche sur les menaces chez Digital Shadows.
« Comme sur tous les marchés encombrés, il y en a quelques-uns qui se hissent au sommet et reçoivent constamment des commentaires positifs, mais beaucoup d'autres qui sont à la recherche d'attention, vendent un produit de qualité inférieure ou essaient d'escroquer l'acheteur », constate Accenture…