Le paysage du ransomware continue d’évoluer avec des tendances préoccupantes touchant des secteurs clés et exposant des vulnérabilités critiques. Selon le dernier rapport de l’équipe de recherche en menaces de Halcyon, basé sur des renseignements compilés en décembre 2024, la sophistication et la portée des attaques de ransomware ne cessent de croître.

Secteurs les plus affectés

En décembre 2024, les secteurs les plus touchés par le ransomware étaient les suivants :

1. Technologie de l’information (TI) : 34% (+6% mois sur mois).
2. Éducation : 13% (inchangé).
3. Finance et assurances : 9% (-4%).
4. Gouvernements étatiques et locaux : 9% (+1%).
5. Autres secteurs : 7% (+6%).
6. Manufacture : 6% (-7%).
7. Commerce de détail : 6% (+3%).
8. Santé et pharmaceutique : 5% (inchangé).
9. Services professionnels, scientifiques et techniques : 5% (+2%).
10. Arts, divertissement et loisirs : 4% (-4%).

Ces données soulignent que des secteurs critiques comme la TI, l’éducation et la finance restent des cibles prioritaires pour les cybercriminels, posant des défis importants pour la sécurité des infrastructures et des données.

Outils et techniques utilisés

Le rapport souligne que les acteurs de la menace utilisent des outils avancés comme précurseurs des attaques de ransomware. Ces outils comprennent :

• Hacktool.EdRSilencer/EDRStealer : Conçu pour désactiver les solutions de détection et de réponse sur les endpoints (EDR), ce qui facilite des activités malveillantes sans être détecté.
• Hacktool.Lazagne/Clyp : Un voleur de credentiels qui extrait des informations sensibles, telles que les mots de passe et les jetons d’authentification.
• Hacktool.MailBruter : Outil pour compromettre des comptes de courrier électronique par des attaques par force brute.
• Hacktool.sharphound/msil : Utilisé pour cartographier les environnements Active Directory, permettant des déplacements latéraux et des escalades de privilèges.

Principales familles de ransomware détectées

Parmi les charges utiles de ransomware bloquées par Halcyon, on retrouve :

1. LockBit/Fragtor : Reconnu pour sa vitesse de chiffrement et ses capacités d’évasion avancées.
2. Phobos/Zusy : Un ransomware adaptable avec des capacités de vol de données.
3. LockBit/BlackMatter : Combinant des caractéristiques des familles LockBit et BlackMatter, employant des tactiques de double extorsion.
4. Akira/Dacic : Connu pour désactiver les outils de sécurité et chiffrer des données critiques.
5. Incransom/Imps : Emploie une double extorsion en exfiltrant des données avant de les chiffrer.

Focus sur la double extorsion

La plupart des variantes modernes de ransomware emploient maintenant des tactiques de double extorsion. Cela implique non seulement le chiffrement des données, mais aussi la menace de publier des informations volées si les victimes ne paient pas la rançon. Cette stratégie augmente la pression sur les organisations affectées, les confrontant à des risques financiers et de réputation.

Projections pour 2025

Le rapport indique qu’un retour de menaces avancées telles que LockBit 4.0 est attendu, avec son lancement prévu pour février 2025. En outre, des groupes comme Cl0p ont intensifié leurs campagnes d’exploitation, mettant en évidence la nécessité d’une surveillance constante.

Mesures de protection recommandées

Pour atténuer les risques, Halcyon suggère :

1. Implémenter des stratégies proactives : Incluant la segmentation des réseaux et une gestion stricte des privilèges.
2. Surveiller en continu : Adopter des solutions avancées de détection et de réponse.
3. Former les employés : Pour identifier les tentatives de phishing et minimiser les erreurs humaines.
4. Sauvegarder régulièrement les données : Avec des copies stockées hors ligne.

La nature dynamique du ransomware souligne l’importance d’une stratégie intégrale de cybersécuritéLes solutions de cybersécurité sont essentielles à l’ère di… pour protéger les organisations contre les risques croissants en 2025.

via : Halcyon