Le FBI ferme les serveurs du groupe de ransomware Dispossessor aux États-Unis, au Royaume-Uni et en Allemagne
Le Federal Bureau of Investigation (FBI) américain a annoncé lundi la perturbation de l’infrastructure en ligne associée à un groupe de ransomware naissant appelé Dispossessor (alias Radar).
L’opération a permis de démanteler trois serveurs américains, trois serveurs britanniques, 18 serveurs allemands, huit domaines criminels basés aux États-Unis et un domaine criminel basé en Allemagne. Dispossessor serait dirigé par un ou plusieurs individus connus sous le surnom en ligne de « Brain ».
« Depuis sa création en août 2023, Radar/Dispossessor s’est rapidement développé en un groupe de ransomware à impact international, ciblant et attaquant les petites et moyennes entreprises et organisations des secteurs de la production, du développement, de l’éducation, de la santé, des services financiers et des transports », a déclaré le FBI dans un communiqué.
Pas moins de 43 entreprises ont été identifiées comme victimes d’attaques de dépossédés, notamment celles situées en Argentine, en Australie, en Belgique, au Brésil, au Canada, en Croatie, en Allemagne, au Honduras, en Inde, au Pérou, en Pologne, aux Émirats arabes unis, au Royaume-Uni et aux États-Unis.
Dispossessor est apparu pour la première fois en août 2023 en tant que groupe de ransomware en tant que service (RaaS) suivant le même modèle de double extorsion que celui mis au point par d’autres gangs de cybercriminalité. Ces attaques fonctionnent en exfiltrant les données des victimes pour obtenir une rançon, en plus de crypter leurs systèmes. Les utilisateurs qui refusent de régler leurs comptes sont menacés d’exposition de leurs données.
Il a été observé que les chaînes d’attaque montées par les acteurs de la menace exploitent des systèmes présentant des failles de sécurité ou des mots de passe faibles comme point d’entrée pour violer les cibles et obtenir un accès élevé pour verrouiller leurs données derrière des barrières de cryptage.
« Une fois l’entreprise attaquée, si elle ne contactait pas l’acteur criminel, le groupe contactait alors de manière proactive d’autres personnes de l’entreprise victime, soit par courrier électronique, soit par téléphone », a déclaré le FBI.
« Les courriels contenaient également des liens vers des plateformes vidéo sur lesquelles les fichiers précédemment volés avaient été présentés. Le but était toujours d’augmenter la pression du chantage et d’accroître la volonté de payer. »
Un rapport précédent de la société de cybersécurité SentinelOne a révélé que le groupe Dispossessor faisait la publicité de données déjà divulguées pour le téléchargement et la vente, ajoutant qu’il « semble republier des données précédemment associées à d’autres opérations avec des exemples allant de Cl0p, Hunters International et 8Base ».
/>La fréquence de ces démantèlements est une autre indication que les forces de l’ordre du monde entier intensifient leurs efforts pour lutter contre la menace persistante des ransomwares, alors même que les acteurs de la menace trouvent des moyens d’innover et de prospérer dans un paysage en constante évolution.
Cela comprend une augmentation des attaques menées par l’intermédiaire de sous-traitants et de prestataires de services, soulignant la manière dont les acteurs de la menace exploitent les relations de confiance à leur avantage, car « cette approche facilite les attaques à grande échelle avec moins d’efforts, passant souvent inaperçues jusqu’à ce que des fuites de données ou des données cryptées soient découvertes ».
Les données recueillies par Palo Alto Networks Unit 42 à partir de sites de fuite montrent que les secteurs les plus touchés par les ransomwares au cours du premier semestre 2024 étaient l’industrie manufacturière (16,4 %), la santé (9,6 %) et la construction (9,4 %).
/>Certains des pays les plus ciblés au cours de cette période étaient les États-Unis, le Canada, le Royaume-Uni, l’Allemagne, l’Italie, la France, l’Espagne, le Brésil, l’Australie et la Belgique.
« Les vulnérabilités récemment révélées ont principalement favorisé l’activité de ransomware, les attaquants s’efforçant d’exploiter rapidement ces opportunités », a déclaré la société . « Les acteurs malveillants ciblent régulièrement les vulnérabilités pour accéder aux réseaux des victimes, élever leurs privilèges et se déplacer latéralement dans les environnements piratés. »
Une tendance notable est l’émergence de nouveaux groupes de ransomware (ou de groupes remaniés), qui représentent 21 des 68 groupes uniques publiant des tentatives d’extorsion, et le ciblage accru des petites organisations, selon Rapid7.
« Cela peut être dû à de nombreuses raisons, notamment au fait que ces petites organisations contiennent bon nombre des mêmes données que celles recherchées par les acteurs de la menace, mais elles ont souvent mis en place des précautions de sécurité moins matures », a-t-il déclaré .
Un autre aspect important est la professionnalisation des modèles commerciaux RaaS . Les groupes de ransomware sont non seulement plus sophistiqués, mais ils étendent également de plus en plus leurs opérations pour ressembler à celles des entreprises légitimes.
« Ils ont leurs propres marketplaces, vendent leurs propres produits et, dans certains cas, proposent une assistance 24h/24 et 7j/7 », souligne Rapid7. « Ils semblent également créer un écosystème de collaboration et de consolidation dans les types de ransomware qu’ils déploient. »