Observatoire des victimes de ransomwares - Avril 2023

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .

Sur le mois d’avril 2023, le CERT-XMCO a identifié la publication des noms de 367 victimes par 26 opérateurs de ransomware.
Cela représente une baisse d’environ 17% par rapport au mois précédent.

Victimes par pays

Les États-Unis ont été les plus touchés par les attaques des opérateurs de ransomware durant le mois d’avril, avec la publication de 174 nouvelles victimes.
Viennent ensuite :

  • Canada (17) ;
  • Royaume-Uni (15) ;
  • Allemagne (15) ;
  • France (13) ;
  • Italie (10) ;
  • Espagne (8) ;

Victimes par secteur d’activité

Durant le mois d’avril, on constate que les secteurs d’activités les plus ciblés sont :

  • Services de santé (39) ;
  • Services informatiques (27) ;
  • Machines, matériel informatique (23) ;
  • Services éducatifs (21) ;
  • Construction (18) ;
  • Services divers (13) ;

Analyse des opérateurs

L’opérateur de ransomware présumé Midnight leurre des organisations américaines avec de fausses données volées

Un groupe surnommé Midnight aurait menacé des entreprises situées aux États-Unis et ayant déjà été victimes d’attaques par ransomware de divulguer leurs données si elles ne payaient pas une rançon, même dans les cas où aucune exfiltration de données ne s’était produite.
Le groupe, dont les premières opérations remonteraient à 2019, se serait fait passer pour d’autres groupes de ransomwares tels que Surtr et Silent Ransom, y compris lorsque ces groupes n’étaient pas impliqués dans les attaques de ransomware d’origine. L’escroquerie d’extorsion d’un attaquant qui ne possèderait aucune donnée n’est pas nouvelle. La tactique appelée Phantom Incident Extortion avait déjà été observée en 2019.

Money Message : nouvel acteur, nouveau ransomware

Un nouveau ransomware a été signalé sur le forum de BleepingComputer puis a été confirmé par Zscaler. Il revendique 7 victimes.
Money Message vise les appareils sous Windows et possède 2 composantes : un chiffreur écrit en C++ ainsi qu’un fichier de configuration JSON.
Bien que les capacités de chiffrement et d’extraction de données de Money Message sont avérées, il est encore tôt pour se prononcer sur l’importance de cette nouvelle menace.

Un nouveau ransomware nommé Rorschach serait doté de la capacité de chiffrement la plus rapide connue à ce jour

Les chercheurs de Check Point auraient observé une nouvelle souche de ransomware déployée chez l’un de ses clients lors d’une réponse à un incident. Ils l’ont nommée Rorschach.
Il s’agirait du ransomware à chiffrement le plus rapide connu à ce jour.
Rorschach est unique à plusieurs égards :

  • Ses développeurs et opérateurs restent inconnus et ne l’ont pas nommé eux-mêmes.
  • Il emprunterait des éléments à divers ransomwares tout en ayant des capacités personnalisées, notamment une autonomie partielle qui lui confère la possibilité de se déplacer dans l’environnement de la machine victime sans interaction avec l’opérateur.

LockBit diversifie ses capacités en développant un ransomware ciblant MacOS

Le 16 avril 20223, MalwareHunterTeam a tweeté sur l’existence du potentiel premier ransomware ciblant macOS ainsi que les systèmes SPARC, PowerPC et MIPS. Ce nouveau variant développé par LockBit semble être disponible depuis le 11 novembre 2022.
Une analyse technique effectuée par Patrick Wardle relativise cependant la performance du ransomware face aux mécanismes de sécurité de macOS. Il semble donc s’agir d’un test ne représentant pas de réelle menace pour le moment.

Revue des évènements marquants

ALPHV aurait ciblé 3 vulnérabilités impactant la solution Veritas Backup

Mandiant a observé des affiliés du groupe ALPHV, baptisés UNC4466, exploitant 3 vulnérabilités référencées CVE-2021-27876, CVE-2021-27877 et CVE-2021-27878.
Ces 3 vulnérabilités, datant de mars 2021, concernent des erreurs dans les différentes méthodes d’authentification de Veritas Backup. Elles ont toutes été corrigées dans la version 21.2.
Leur exploitation est triviale de par la présence de modules d’exploitation dans l’outil de pentest Mestasploit.

La vulnérabilité CVE-2023-28252 du Patch Tuesday d’avril a été rapidement exploitée

Kaspersky a annoncé avoir observé les auteurs du ransomware Nokoyawa exploiter la CVE-2023-28252. Il s’agit d’une vulnérabilité impactant le Common Log File System (CLFS). Le CLFS est un système offrant une capacité optimisée de collection et de transfert de logs depuis Windows 2003 R2. La vulnérabilité impacte toutes les versions Windows et est aisément exploitée localement afin de monter en privilèges et d’obtenir les droits SYSTEM.

Fincantieri Marinette Marine touchée par une attaque de ransomware

Fincantieri Marinette Marine (FMM) a subi une attaque de ransomware le 12 avril 2023. Cette dernière a visé tout particulièrement les serveurs envoyant des instructions aux systèmes CNC (Computer Numerical Control) permettant le contrôle des machines sur les lignes de production. Seuls le système d’email et certaines fonctionnalités réseau auraient été impactés.

Le ransomware Trigona aurait ciblé des serveurs MS-SQL exposés

Le CERT de la société de cybersécurité AhnLab aurait découvert l’installation du ransomware Trigona sur des serveurs MS-SQL vulnérables aux attaques par Brute Force.

Références

CERT-XMCO

Découvrir d'autres articles