Les attaques de ransomware mises en évidence ont entraîné des pertes financières substantielles, se chiffrant collectivement en milliards de dollars. Les attaquants ont eu recours à des tactiques sophistiquées, telles que l'exploitation de vulnérabilités logicielles et l'utilisation de techniques d'ingénierie sociale comme les emails de phishing, pour infiltrer les systèmes et maximiser leur impact. Les attaques de ransomware ont ciblé des organisations de divers secteurs à travers le monde, démontrant la nature étendue de la menace.
Les attaques de ransomware représentent une menace significative dans le paysage numérique actuel, avec des impacts dévastateurs sur les organisations du monde entier. Dans cet article, nous présentons les cinq attaques de ransomware les plus importantes de l'histoire, chacune illustrant l'ampleur des pertes financières, les stratégies sophistiquées des attaquants et le besoin urgent de mesures de cybersécurité robustes. 1.
ExPetr Type d'attaque: Ransomware (un wiper exploitant une vulnérabilité SMB) Année: 2017 Attaquants: Probablement des acteurs étatiques russes Entreprise cible: Diverses, mais a gravement touché Maersk et Merck Impact monétaire: Estimé à 10 milliards de dollars En juin 2017, l'attaque du ransomware ExPetr, également connu sous le nom de NotPetya, a balayé le monde, entraînant des perturbations et des dommages considérables. Contrairement aux tactiques de ransomware classiques, ExPetr n'a pas été conçu pour exiger une rançon; son objectif était d'infliger un maximum de dégâts.
Initialement ciblée sur l'Ukraine, elle s'est avérée trop virulente pour être confinée. NotPetya a rapidement été identifié comme un wiper, une forme de malware conçue pour effacer les données en se faisant passer pour un ransomware. Il a exploité une vulnérabilité des systèmes Windows connue sous le nom d'EternalBlue. Le wiper s'est rapidement propagé, chiffrant l'enregistrement de démarrage principal (MBR) pour rendre les systèmes affectés non amorçables. Après avoir infiltré un réseau, il a utilisé diverses techniques, notamment l'outil Mimikatz, pour collecter des identifiants et se propager latéralement.
Le coût financier collectif attribué à NotPetya a été estimé à environ 10 milliards de dollars, ce qui en fait l'attaque documentée la plus coûteuse de l'histoire. Lire aussi: World’s largest bank hit by LockBit ransomware gang linked to Boeing, Ion attacks 2. WannaCry Type d'attaque: Ransomware (vulnérabilité dans le protocole SMB) Année: 2017 Attaquants: Soupçonnés d'être le groupe Lazarus Entreprise cible: Multiples (attaque mondiale); utilisateurs de Microsoft Windows Impact monétaire: Estimé à 4 milliards de dollars En mai 2017, l'attaque du ransomware WannaCry a touché 150 pays, affectant plus de 200 000 ordinateurs.
Les premières estimations de coûts ont atteint 4 milliards de dollars, avec des pertes futures potentielles rien qu'aux États-Unis projetées à plus de 7 billions de dollars. WannaCry a exploité une vulnérabilité critique dans l'implémentation Microsoft du protocole Server Message Block (SMB), connue sous le nom d'EternalBlue, prétendument développée par la National Security Agency (NSA) américaine et divulguée par le groupe Shadow Brokers.
Le ransomware chiffrait les fichiers sur les ordinateurs des victimes, exigeant un paiement en Bitcoin pour une clé de déchiffrement, généralement 300 $, doublant si le paiement n'était pas effectué dans les trois jours. Agissant comme un ver, WannaCry se propageait automatiquement à travers les réseaux, provoquant des perturbations généralisées des infrastructures critiques telles que la santé, la finance et les transports. Lire aussi: EvilProxy Phishing Campaign Targets Microsoft 365 Users, Focuses on C-Level Executives 3.
GandCrab Type d'attaque: Ransomware-as-a-service (RaaS) (phishing, kits d'exploitation) Année: 2018-2019 Attaquants: Contexte documenté publiquement, les opérateurs ont annoncé leur « retraite » en 2019 Entreprise cible: Diverses, y compris des entreprises et des particuliers (PC sous MS Windows) Impact monétaire: Estimé à plus de 2 milliards de dollars En 2018, GandCrab est apparu comme une attaque de ransomware très répandue et rentable. Ce qui distinguait GandCrab était son approche de Ransomware-as-a-Service (RaaS), dans laquelle des affiliés étaient autorisés à mener des attaques et à partager les bénéfices avec les développeurs.
GandCrab se propageait principalement par le biais d'e-mails de phishing et de kits d'exploitation, notamment les kits GrandSoft et RIG. Après avoir infecté le système d'une victime, GandCrab chiffrait les fichiers et exigeait une rançon en crypto-monnaie Dash pour le déchiffrement. 4.
Locky Type d'attaque: Ransomware (e-mails de phishing distribuant une macro dans un document Word) Année: 2016 - 2018 Attaquants: Contexte documenté publiquement, peut-être les pirates de Dridex (alias Evil Corp ou TA505) Entreprise cible: Diverses (principalement des fournisseurs de soins de santé aux États-Unis, au Canada, en France, au Japon, en Corée et en Thaïlande) Impact monétaire: Estimé à 1 milliard de dollars Locky, actif principalement de 2016 à 2018, s'est distingué comme l'une des variantes de ransomware les plus répandues, propagée par de vastes campagnes de phishing.
Il s'infiltrait dans les systèmes via des pièces jointes contenant des documents Word malveillants. Lors de l'ouverture du document et de l'activation des macros, la charge utile du ransomware était téléchargée et activée. Locky chiffrait divers types de fichiers de données, brouillait leurs noms et exigeait un paiement en Bitcoin pour le déchiffrement. Notamment, il pouvait chiffrer les fichiers stockés sur des partages réseau, augmentant ainsi son potentiel de nuisance.
Utilisant une combinaison de chiffrement RSA et AES, Locky rendait les fichiers des victimes inaccessibles jusqu'à ce qu'une rançon soit payée, allant généralement de 0,5 à 1 Bitcoin. Lire aussi: HKBN offers free phishing assessments to SPO 5.
Ryuk Type d'attaque: Ransomware (généralement une infection par TrickBot) Année: 2018 - 2020 Attaquants: Incertains, peut-être divers groupes utilisant le malware Ryuk ou Wizard Spider (Russie) Entreprise cible: Diverses, principalement des soins de santé et des municipalités Impact monétaire: Estimé à 150 millions de dollars Apparu à la mi-2018, le ransomware Ryuk est rapidement devenu une menace importante pour les grandes entreprises. Contrairement aux tactiques de ransomware classiques reposant sur une distribution automatisée, Ryuk est déployé manuellement après une violation initiale du réseau.
Les attaquants cartographient méticuleusement les réseaux, extraient des données et collectent des identifiants avant de déclencher le ransomware Ryuk, dans le but de maximiser les perturbations. Ryuk utilise une combinaison de chiffrement RSA-2048 et AES-256, ce qui le rend très résistant au déchiffrement sans les clés requises. De plus, le malware est conçu pour chiffrer les lecteurs réseau, les ressources et les hôtes distants. Ryuk a été lié à de nombreuses attaques de grande envergure, avec des demandes de rançon allant de 15 à 500 Bitcoin (environ 100 000 à 3,7 millions de dollars).

