Depuis quelques années, l’utilisation du ransomware par des acteurs de la cyberguerre a évolué. En 2024, SentinelLabs, une entité de recherche de SentinelOne, a dévoilé les efforts croissants de groupes de cyberespionnage qui utilisent ces outils non seulement pour extorquer de l’argent, mais aussi pour semer la confusion, désorganiser, et attribuer faussement des attaques à d’autres groupes.
Comprendre les objectifs des cyberespionnes
Ransomware comme outil de disruption
Le ransomware, autrefois principalement utilisé par des cybercriminels visant un gain financier immédiat, est désormais une arme de choix pour des acteurs étatiques ou des groupes soutenus par des États. Ces groupements utilisent ces méthodes pour perturber les opérations quotidiennes des infrastructures critiques. Les secteurs du gouvernement, de la santé, de l’aviation et de la fabrication sont particulièrement vulnérables. En utilisant des tactiques, techniques et procédures (TTPs) communes et des outils publics, ils arrivent non seulement à pénétrer les systèmes, mais aussi à masquer leur présence pendant une durée prolongée.
L’illusion par la misattribution
Certaines attaques apparaissent sous la forme de logiciels malveillants bien connus, mais s’avèrent être plus sophistiquées en profondeur. Par exemple, des intrusions récentes ont révélé que les pirates dissimulent des fichiers tels que TSVIPSrv.dll et TPWinPrn.dll pour faire passer leurs outils pour des composants Windows légitimes. Cela complique davantage la tâche des experts en sécurité pour identifier et stopper ces cybermenaces.
Cas d’étude : ChamelGang et ses cibles
Attaques ciblées en Asie et au-delà
Un groupe nommé ChamelGang fait figure emblématique dans ce paysage complexe. En 2023, ce groupe a pris pour cible une organisation gouvernementale en Asie de l’Est ainsi qu’une compagnie aéronautique dans le sous-continent indien. Ils ont utilisé un malware personnalisé nommé BeaconLoader. Mais ce qui distingue réellement ChamelGang, c’est leur capacité à déguiser ce malware en utilisant des services Windows pour se fondre dans le décor numérique, rendant ainsi la détection encore plus ardue.
Expansion mondiale des opérations
ChamelGang ne s’est pas limité à l’Asie. Fin 2022, des soupçons d’attaques contre la présidence brésilienne et un institut médical renommé en Inde avec le ransomware CatB ont émergé. De telles actions démontrent l’ambition globale de ce groupe et leur capacité à perturber diverses structures essentielles et médiatiques mondiales.
Importance de la collaboration contre le ransomware
Efforts conjoints pour combattre la menace
SentinelOne insiste sur la nécessité d’une collaboration internationale et continue entre les autorités policières et les organisations touchées par ces cyberattaques. La lutte contre ces menaces nécessite une approche coordonnée où le partage d’informations et les réponses rapides jouent un rôle crucial.
Meilleures pratiques pour les entreprises
Les entreprises doivent renforcer leurs mesures de protection en adoptant des solutions de cybersécurité robustes et en sensibilisant leurs employés aux dangers potentiels du phishing et autres moyens courants utilisés par les pirates pour pénétrer les systèmes internes. Adopter une stratégie holistique de sécurité qui inclut non seulement la prévention mais aussi une réponse rapide et efficace en cas d’incident peut significativement réduire les impacts d’une attaque.
Analyse des tendances et implication future
Évolution des tactiques avec Jetico BestCrypt et BitLocker
Plusieurs intrusions utilisant les outils de cryptage Jetico BestCrypt et Microsoft BitLocker ont été documentées, affectant 37 organisations en Amérique du Nord entre 2021 et 2023. Ce mode opératoire rappelle des incidents précédents rapportés par LIFARS et DCSO, indiquant une tendance croissante vers l’utilisation de technologies avancées pour verrouiller et demander une rançon pour les données sensibles.
Perspectives à venir
La sophistication et l’organisation croissantes des groupes comme ChamelGang signalent que le problème va probablement empirer avant de s’améliorer. Une meilleure compréhension des mécanismes utilisés par ces groupes, combinée avec des stratégies globales de défense, peut aider à atténuer les risques futurs. L’échange d’information continu et la coopération entre différentes nations et agences seront cruciaux pour sécuriser nos infrastructures critiques contre ces nouvelles formes de menace.
