En 2022, Unit 42 avait publié un article sur les tendances et méthodes de diffusion des rançongiciels. À cette époque, les pièces jointes aux courriels (par exemple, les protocoles SMTP et POP3) étaient le canal le plus largement utilisé pour la distribution de rançongiciels. Les protocoles les plus couramment utilisés pour diffuser les rançongiciels en 2022 sont le HTTP et le HTTPS (HTTP sécurisé). Les autres protocoles comprennent le SMB (Server Message Block), RDP (Remote Desktop Protocol), FTP et SMTP (Simple Mail Transfer Protocol).
Entre octobre et décembre 2022, les services de filtrage avancé d'URL et de sécurité DNS d’Unit 42 ont détecté plus de 27 000 URL et noms d'hôtes uniques hébergeant des rançongiciels. En analysant les hébergeurs d'URL de rançongiciels, Unit 42 a constaté qu’à la fin décembre 2022, plus de 20 % des URL que les équipes avaient observées étaient encore actives des jours ou des semaines après avoir été signalées. La plupart de ces URL sont des sites Web compromis et n'ont probablement pas été détectées par les propriétaires de sites. Outre l'abus attendu des domaines génériques de premier niveau (gTLD) (par exemple, .filet, .org, .xyz, .haut et .mobi) étant donné qu'ils se taillent la part du lion du marché des domaines, il convient de noter que les attaquants ont également abusé des domaines de premier niveau de code de pays (ccTLD), y compris.ru, et.cn, indiquant peut-être que ces pays ont mis en place des politiques moins strictes pour l'enregistrement des domaines.
Les cybermalfaiteurs créent des sous-domaines ou des chemins sous les services populaires tels que l'hébergement public, les médias sociaux et les services de partage pour atteindre un public plus large et rester sous le radar. Ces URL sont susceptibles de passer entre les mailles du filet de nombreux services de blocage d'URL existants en raison de la bonne réputation de ces services. Les chiffres montrent que les TLD les plus couramment utilisés pour héberger des rançongiciels sont .com, .ru et .net. Les autres TLD comprennent .info, .biz, .org, .in, .pw, .xyz et .cc. Les auteurs de menaces abusent également des domaines de premier niveau de code de pays (ccTLD), y compris .ru et .cn, indiquant que ces pays ont mis en place des politiques moins strictes pour l'enregistrement des domaines.
Un changement dans le vecteur d’infection par rançongiciels
Plus récemment, l’analyse d'échantillons de rançongiciels de toute l'année 2022 a révélé un changement dans le vecteur d’infection par rançongiciels. La navigation par URL ou sur le Web est devenue la principale méthode de diffusion des rançongiciels, représentant plus de 77 % des cas, alors que les protocoles de messagerie représentent moins de 12 % (SMTP 6,4 %, POP3 4,2 % et IMAP 1,3). Les messageries étant sous une surveillance constante, et intransigeante parfois, la diffusion de rançongiciels par courriel a diminué pour devenir la deuxième méthode la plus utilisée, représentant près de 12 % du total des attaques.D’après les constatations d’Unit 42, les rançongiciels sont souvent diffusés via des URL. Les utilisateurs peuvent visiter un site Web infecté en cliquant sur un lien dans un courriel, une publicité ou un autre contenu en ligne. Une fois qu'ils sont sur le site, le rançongiciel peut être téléchargé et exécuté sur leur ordinateur. Dans le cas d’attaques ciblées, les acteurs de la menace peuvent utiliser des logiciels malveillants ou d'autres techniques pour accéder à un système compromis et rediriger la navigation vers des URL malveillantes. Cela peut se produire par le biais de violations de données, d’hameçonnage ou d'autres moyens.
Des URL dynamiques pour éviter de se faire repérer
Les acteurs de la menace utilisent des URL pour télécharger et exécuter le rançongiciel sur les systèmes des victimes. Ces URL peuvent être personnalisées pour cibler des victimes spécifiques ou pour diffuser les attaques par rançongiciels à grande échelle. Ils utilisent des comportements de plus en plus dynamiques pour diffuser leurs rançongiciels. En plus d'emprunter la ruse bien connue de l'utilisation de versions polymorphes de leurs rançongiciels, ils alternent souvent les noms d'hôte, les chemins d’accès, les noms de fichiers ou une combinaison des trois pour distribuer largement leurs attaques par rançongiciels. Les chiffres collectés par Unit 42 montrent que les dix principales familles de rançongiciels repérées par le service de détection de basé sur URL en 2022 sont Lazy, Virlock, Locky, Cerber, CryptoWall, TorrentLocker, TeslaCrypt, CTB-Locker, CryptXXX et Shade. Lazy et Virlock représentent plus de 50 % des ransomwares observés.Selon Unit 42, les acteurs de la menace utilisent des comportements dynamiques pour diffuser leurs rançongiciels et alternent fréquemment les noms d'hôte, les chemins d'accès et les noms de fichiers pour distribuer leurs attaques le plus largement possible sans se faire détecter. Ils parviennent ainsi à diffuser leurs méfaits en abusant les fournisseurs d'hébergement, des domaines de premier niveau, des médias sociaux et des services de partage.
