Le FBI met en garde contre la tendance croissante des doubles attaques de ransomware ciblant les entreprises américaines

Ecrit par | Cyber Sécurité

Rançongiciel

Le Federal Bureau of Investigation (FBI) américain met en garde contre une nouvelle tendance de doubles attaques de ransomware ciblant les mêmes victimes, au moins depuis juillet 2023.

« Au cours de ces attaques, les acteurs de la cybermenace ont déployé deux variantes de ransomware différentes contre les entreprises victimes parmi les variantes suivantes : AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum et Royal », a indiqué le FBI dans une alerte. « Des variantes ont été déployées dans diverses combinaisons. »

On ne sait pas grand-chose de l’ampleur de ces attaques, même si l’on pense qu’elles se produisent à proximité les unes des autres, entre 48 heures et 10 jours.

Un autre changement notable observé dans les attaques de ransomwares est l’utilisation accrue de vols de données personnalisés, d’outils d’effacement et de logiciels malveillants pour faire pression sur les victimes afin qu’elles paient.

« Cette utilisation de deux variantes de ransomware a entraîné une combinaison de cryptage de données, d’exfiltration et de pertes financières liées au paiement de rançons », a déclaré l’agence. « Une deuxième attaque de ransomware contre un système déjà compromis pourrait nuire considérablement aux entités victimes. »

Il convient de noter que les doubles attaques de ransomware ne sont pas un phénomène entièrement nouveau, avec des cas observés dès mai 2021.

L’année dernière, Sophos a révélé qu’un équipementier automobile anonyme avait été touché par une triple attaque de ransomware comprenant Lockbit, Hive et BlackCat sur une période de deux semaines entre avril et mai 2022.

Puis, plus tôt ce mois-ci, Symantec a détaillé une attaque de ransomware à 3 heures du matin ciblant une victime anonyme suite à une tentative infructueuse de livraison de LockBit dans le réseau cible.

Ce changement de tactique se résume à plusieurs facteurs contributifs, notamment l’exploitation des vulnérabilités du jour zéro et la prolifération des courtiers d’accès initiaux et des affiliés dans le paysage des ransomwares, qui peuvent revendre l’accès aux systèmes des victimes et déployer diverses souches en succession rapide.

Il est conseillé aux organisations de renforcer leurs défenses en maintenant des sauvegardes hors ligne, en surveillant les connexions externes à distance et l’utilisation du protocole de bureau à distance (RDP), en appliquant une authentification multifacteur résistante au phishing, en auditant les comptes d’utilisateurs et en segmentant les réseaux pour empêcher la propagation des ransomwares.

Last modified: 2 octobre 2023