Selon Kaspersky, les groupes de rançongiciels adaptent de plus en plus leur code aux langages de programmation multiplateformes tels que Rust ou Golang afin que leurs logiciels malveillants puissent se propager aux systèmes exécutant des systèmes d’exploitation autres que Windows.
L’observation vient d’un rapport sur les dernières tendances des rançongiciels des chercheurs de Kaspersky à la veille de la troisième journée annuelle anti-rançongiciel, qui a lieu cette année le jeudi 12 mai.
L’écriture de logiciels malveillants dans un langage multiplateforme facilite leur portage sur d’autres plates-formes telles que Linux, iOS et Android, note le rapport. Une autre raison est que l’analyse des binaires multiplateformes est un peu plus difficile que celle des logiciels malveillants écrits en C.
Parmi les groupes qui adoptent cette tactique on retrouve Conti, BlackCat et Deadbolt.
Le rapport note deux autres tendances :
Tout d’abord, l’écosystème des rançongiciels devient de plus en plus « industrialisé ».
« Tout comme les éditeurs de logiciels légitimes, les groupes cybercriminels développent continuellement leur boîte à outils pour eux-mêmes et leurs clients – par exemple, pour rendre le processus d’exfiltration de données plus rapide et plus facile », déclarent les chercheurs.
Par exemple, à ses débuts, le gang Lockbit n’avait pas de portail de fuite, ne faisait pas de double extorsion et n’exfiltrait pas les données avant leur cryptage. Cela a changé avec le temps. Comme d’autres familles de rançongiciels, note le rapport, l’infrastructure de Lockbit a subi plusieurs attaques, notamment le piratage des panneaux d’administration de Lockbit et des attaques DDoS pour forcer le groupe à arrêter son activité, ce qui l’a obligé à mettre en œuvre certaines contre-mesures pour protéger ses actifs.
Deuxièmement, les gangs de rançongiciels prennent parti dans les conflits géopolitiques.
Par exemple, le 25 février, Conti a déclaré qu’il riposterait avec toutes ses capacités contre toute infrastructure critique « ennemie » si la Russie devenait la cible de cyberattaques. CoomingProject, un groupe d’extorsion, et Stormous (dont le code est écrit en PHP), soutiennent également ouvertement la Russie.
Kaspersky propose ce conseil aux chefs de la sécurité informatique et aux responsables informatiques :
- Toujours maintenir les logiciels à jour sur tous les appareils pour empêcher les attaquants d’infiltrer les réseaux informatiques en exploitant les vulnérabilités.
- Concentrer la stratégie de défense sur la détection des mouvements latéraux et de l’exfiltration de données vers Internet.
- Porter une attention particulière au trafic sortant pour détecter les connexions des cybercriminels.
- Configurer des sauvegardes hors ligne que les intrus ne peuvent pas altérer. Assurez-vous que les intervenants peuvent y accéder rapidement au besoin en cas d’urgence.
- Activer la protection contre les rançongiciels et EDR pour tous les endpoints ;
- Fournir à votre équipe du centre des opérations de sécurité (SOC) un accès aux dernières informations sur les menaces et s’assurer de garde leurs connaissances à jour par de la formation continue.
Lire aussi :
Un nouveau variant du rançongiciel Conti
Payer la rançon ne garantit pas de récupérer ses données
Des attaques par rançongiciel plus ciblées en 2022
Traduction et adaptation française par Renaud Larue-Langlois
