Les gangs de ransomware et leurs logiciels malveillants répertoriés ici ont fait des millions de victimes et entraîné des milliards de dollars de coûts.

Les ransomwares ont une longue histoire, qui remonte à la fin des années 1980. Aujourd'hui, ils génèrent des milliards de dollars de revenus pour les groupes criminels qui en sont responsables. Les victimes encourent des frais de récupération même si elles paient la rançon. Sophos rapporte que le coût moyen d'une attaque par ransomware en 2020 était de près de 1,5 million de dollars pour les organisations victimes qui ont payé les rançons et d'environ 732 000 dollars pour celles qui ne l'ont pas fait.

Compte tenu de l'avantage financier pour les attaquants, il n'est pas surprenant que les gangs et les logiciels malveillants de ransomware aient proliféré. Les acteurs de la menace ransomware, c'est-à-dire les personnes capables de développer et de diffuser un code, se comptent probablement par centaines. Sans compter les "affiliés" qui achètent des offres de ransomware en tant que service (RaaS) à certains de ces acteurs de la menace.

Vous trouverez ci-dessous une liste des principaux groupes et logiciels malveillants de ransomware, sélectionnés en fonction de leur impact ou de leurs caractéristiques innovantes. Cette liste n'est pas exhaustive et n'a pas vocation à l'être. Et si certains de ces groupes de ransomware ne sont plus actifs, cela ne garantit pas qu'ils ne réapparaîtront pas un jour, plus grands et plus méchants, comme c'est trop souvent le cas.


Cerber

Historique : Cerber est une plateforme RaaS qui est apparue pour la première fois en 2016, rapportant aux attaquants 200 000 dollars en juillet de la même année.

Fonctionnement : Cerber a profité d'une vulnérabilité de Microsoft pour infecter les réseaux. Son fonctionnement est similaire à celui d'autres menaces de ransomware. Il chiffre les fichiers avec l'algorithme AES-256 et cible des dizaines de types de fichiers, notamment des documents, des images, des fichiers audio, des vidéos, des archives et des sauvegardes. Il peut également rechercher et chiffrer les partages réseau disponibles, même s'ils ne sont pas associés à une lettre de lecteur sur l'ordinateur. Cerber dépose ensuite trois fichiers sur le bureau de la victime, qui contiennent la demande de rançon et les instructions pour la payer.

Victimes ciblées : En tant que plateforme RaaS, Cerber est une menace pour tous.

Attribution : Les créateurs de Cerber vendent la plateforme sur un forum privé en langue russe.

Conti

Historique : Apparue pour la première fois en mai 2020, la plateforme RaaS Conti est considérée comme le successeur du ransomware Ryuk. En janvier 2021, Conti aurait infecté plus de 150 organisations et rapporté des millions de dollars à ses développeurs criminels et à leurs affiliés. Au moins trois nouvelles versions ont été trouvées depuis sa création.

Comment fonctionne-t-il ? Le gang Conti utilise la double menace de retenir la clé de décryptage et de vendre ou de divulguer les données sensibles de ses victimes. En fait, il gère un site Web, Conti News, où il répertorie ses victimes et publie les données volées. Une fois que le malware a infecté un système, il passe son temps à se déplacer latéralement pour accéder à des systèmes plus sensibles. Conti est connu pour chiffrer rapidement les fichiers grâce à son utilisation du multithreading.

Victimes ciblées : En tant qu'opération RaaS, Conti est une menace pour tout le monde, bien que la dernière série d'infections en janvier 2021 semble cibler les organisations gouvernementales.

Attribution : Conti est l'œuvre d'un seul gang dont les membres restent non identifiés.

CryptoLocker

Historique : Découvert pour la première fois lors d'une attaque en 2013, CryptoLocker a lancé l'ère moderne des ransomwares et a infecté jusqu'à 500 000 machines Windows à son apogée. Il est également connu sous le nom de TorrentLocker. En juillet 2014, le ministère américain de la Justice a déclaré avoir "neutralisé" CryptoLocker.

Comment fonctionne-t-il ? CryptoLocker est un cheval de Troie qui recherche sur les ordinateurs infectés des fichiers à chiffrer, y compris sur tout périphérique de stockage interne ou connecté au réseau. Il est généralement diffusé par le biais d'e-mails d'hameçonnage avec des pièces jointes contenant des liens malveillants. Un téléchargeur est activé une fois le fichier ouvert, infectant l'ordinateur.

Victimes ciblées : CryptoLocker ne semble pas avoir ciblé d'entité spécifique.

Attribution : CryptoLocker a été créé par des membres de la bande criminelle qui a développé Gameover Zeus, un cheval de Troie bancaire.

CryptoWall

Historique : CryptoWall, également connu sous le nom de CryptoBit ou CryptoDefense, est apparu en 2014 et est devenu populaire après la fermeture du CryptoLocker original. Il a fait l'objet de plusieurs révisions.

Comment ça marche : CryptoWall est distribué via des spams ou des kits d'exploitation. Ses développeurs semblent éviter la sophistication au profit d'une approche classique simple mais efficace du ransomware. Au cours de ses six premiers mois d'activité, il a infecté 625 000 ordinateurs.

Victimes ciblées : Ce ransomware a fait des dizaines de milliers de victimes parmi des organisations de tous types dans le monde entier, mais il évite les pays russophones.

Attribution : Le développeur de CryptoWall est probablement une bande criminelle opérant depuis un pays russophone. CryptoWall 3.0 détecte s'il est exécuté sur un ordinateur en Biélorussie, en Ukraine, en Russie, au Kazakhstan, en Arménie ou en Serbie, puis se désinstalle.

Blog

 

CTB-Locker

Historique : Signalé pour la première fois en 2014, CTB-Locker est une autre offre RaaS connue pour son taux d'infection élevé. En 2016, une nouvelle version de CTB-Locker a ciblé les serveurs Web.

Fonctionnement : Les affiliés paient des frais mensuels aux développeurs de CTB-Locker pour avoir accès au code du ransomware hébergé. Le ransomware utilise la cryptographie à courbe elliptique pour chiffrer les données. Il est également connu pour ses capacités multilingues, ce qui augmente le nombre de victimes potentielles dans le monde.

Victimes ciblées : Compte tenu de son modèle RaaS, CTB-Locker est une menace pour n'importe quelle organisation, mais les pays de niveau 1 d'Europe occidentale, d'Amérique du Nord et d'Australie sont le plus souvent visés, surtout s'ils étaient connus pour avoir payé des rançons dans le passé.

DoppelPaymer

Historique : DoppelPaymer est apparu pour la première fois en juin 2019 et est toujours actif et dangereux. La division cyber du FBI américain a émis un avertissement à son sujet en décembre 2020. En septembre 2020, il a été utilisé dans le premier ransomware qui a entraîné un décès lorsqu'un hôpital allemand victime a été contraint d'envoyer un patient dans un autre établissement.

Comment cela fonctionne-t-il ? Le gang à l'origine de DoppelPaymer utilise la tactique inhabituelle d'appeler les victimes, en utilisant des numéros de téléphone usurpés basés aux États-Unis, pour exiger le paiement d'une rançon, qui est généralement d'environ 50 bitcoins, soit environ 600 000 dollars lors de sa première apparition. Ils prétendaient venir de Corée du Nord et brandissaient la double menace de la fuite ou de la vente des données volées. Dans certains cas, ils sont allés plus loin en menaçant de nuire les employés des entreprises victimes.

DoppelPaymer semble être basé sur le ransomware BitPaymer, bien qu'il présente quelques différences essentielles, comme l'utilisation d'un chiffrement des fichiers par fils pour un meilleur taux de chiffrement. Contrairement à BitPaymer, DoppelPaymer utilise également un outil appelé Process Hacker pour mettre fin aux processus et services de sécurité, de serveur de messagerie, de sauvegarde et de base de données afin d'affaiblir les défenses et d'éviter de perturber le processus de cryptage.

Victimes ciblées : DoppelPaymer cible les secteurs critiques de la santé, des services d'urgence et de l'éducation.

Attribution : On ne sait pas exactement, mais certains rapports suggèrent qu'une ramification du groupe à l'origine du cheval de Troie Dridex, connu sous le nom de TA505, est responsable de DoppelPaymer.

Egregor

Historique : Egregor est apparu en septembre 2020 et se développe rapidement. Son nom provient du monde occulte et est défini comme "l'énergie collective d'un groupe de personnes, en particulier lorsqu'elles sont alignées sur un objectif commun." Le 9 février 2021, une opération conjointe des autorités américaines, ukrainiennes et françaises a permis d'arrêter un certain nombre de membres et d'affiliés du groupe Egregor et de mettre leur site Internet hors ligne.

Comment cela fonctionne : Egregor suit la tendance de la "double extorsion", qui consiste à la fois à crypter des données et à menacer de divulguer des informations sensibles si la rançon n'est pas payée. Sa base de code est relativement sophistiquée et capable d'éviter la détection en utilisant des techniques d'obfuscation et d'anti-analyse.

Victimes ciblées : À la fin novembre, Egregor avait fait au moins 71 victimes dans 19 secteurs d'activité à travers le monde.

Attribution : La montée en puissance d'Egregor coïncide avec l'arrêt des activités du gang de ransomware Maze. Les affiliés du groupe Maze semblent être passés à Egregor. Il s'agit d'une variante de la famille des ransomwares Sekhmet, associée au malware Qakbot.


FONIX

Historique : FONIX est une offre RaaS qui a été découverte pour la première fois en juillet 2020. Elle est rapidement passée par un certain nombre de révisions de code, mais s'est brusquement arrêtée en janvier 2021. Le gang FONIX a ensuite publié sa clé de décryptage principale.

Comment cela fonctionne-t-il ? Le gang FONIX faisait de la publicité pour ses services sur des forums de cybercriminalité et sur le dark web. Les acheteurs de FONIX envoyaient au gang une adresse électronique et un mot de passe. Le gang envoie ensuite la charge utile personnalisée du ransomware à l'acheteur. Le gang FONIX prend une part de 25 % des frais de rançon payés.

Victimes ciblées : FONIX étant un RAAS, tout le monde peut être victime.

Attribution : Un gang de cybercriminels inconnu

 

GandCrab

Historique : GandCrab pourrait être le RaaS le plus lucratif de tous les temps. Ses développeurs revendiquent plus de 2 milliards de dollars de paiements aux victimes en juillet 2019. GandCrab a été identifié pour la première fois en janvier 2018.

Fonctionnement : GandCrab est un programme de ransomware affilié aux cybercriminels qui versent à ses développeurs une partie des frais de rançon qu'ils perçoivent. Le malware est généralement diffusé par le biais de documents Microsoft Office malveillants envoyés via des courriels de phishing. Des variantes de GandCrab ont exploité des vulnérabilités dans des logiciels tels que Confluence d'Atlassian. Dans ce cas, les attaquants utilisent la faille pour injecter un modèle malveillant qui permet l'exécution de code à distance.

Victimes ciblées : GandCrab a infecté des systèmes dans le monde entier, dans de nombreux secteurs d'activité, bien qu'il soit conçu pour éviter les systèmes des régions russophones.

Attribution : GandCrab a été associé au ressortissant russe Igor Prokopenko.

 

GoldenEye

Historique : Apparu en 2016, GoldenEye semble être basé sur le ransomware Petya.

Fonctionnement : GoldenEye s'est initialement propagé par le biais d'une campagne ciblant les départements de ressources humaines avec de fausses lettres de motivation et de faux CV. Une fois que sa charge utile a infecté un ordinateur, elle exécute une macro qui chiffre les fichiers sur l'ordinateur, en ajoutant une extension aléatoire de 8 caractères à la fin de chaque fichier. Le ransomware modifie ensuite l'enregistrement de démarrage principal du disque dur de l'ordinateur avec un chargeur de démarrage personnalisé.

Victimes ciblées : GoldenEye a d'abord ciblé les utilisateurs germanophones dans ses e-mails de phishing.

Attribution : Inconnu

 

Jigsaw

Historique : Jigsaw est apparu pour la première fois en 2016, mais les chercheurs ont publié un outil de décryptage peu après sa découverte.

Fonctionnement : L'aspect le plus notable de Jigsaw est qu'il chiffre certains fichiers, demande une rançon, puis supprime progressivement des fichiers jusqu'à ce que la rançon soit payée. Il supprime un fichier par heure pendant 72 heures. À ce stade, il supprime tous les fichiers restants.

Victimes ciblées : Jigsaw semble n'avoir ciblé aucun groupe de victimes.

Attribution : Inconnu

 

KeRanger

Historique : KeRanger, découvert en 2016, serait le premier ransomware opérationnel conçu pour attaquer les applications Mac OS X.

Fonctionnement : KeRanger a été distribué par le biais d'un client BitTorrent légitime mais compromis, qui a pu échapper à la détection car il disposait d'un certificat valide.

Victimes ciblées : Utilisateurs de Mac

Attribution : Inconnu

 

Leatherlocker

Historique : Leatherlocker a été découvert pour la première fois en 2017 dans deux applications Android : Booster & Cleaner et Wallpaper Blur HD. Google a retiré les applications de sa boutique peu après leur découverte.

Fonctionnement : Les victimes téléchargent ce qui semble être une application légitime. L'application demande alors des autorisations qui donnent au malware l'accès nécessaire pour s'exécuter. Au lieu de chiffrer les fichiers, il verrouille l'écran d'accueil de l'appareil pour empêcher l'accès aux données.

Victimes ciblées : Les utilisateurs d'Android qui téléchargent les applications infectées.

Attribution : Un groupe de cybercriminels inconnu.

 

LockerGoga

Historique : LockerGoga est apparu en 2019 dans une attaque ciblant des entreprises industrielles. Bien que les attaquants aient demandé une rançon, LockerGoga semblait intentionnellement conçu pour rendre le paiement d'une rançon difficile. Cela a conduit certains chercheurs à penser que son intention était la perturbation plutôt que le gain financier.

Comment cela fonctionne-t-il ? LockerGoga a utilisé une campagne de phishing avec des pièces jointes de documents malveillants pour infecter les systèmes. Les charges utiles étaient signées avec des certificats valides, ce qui leur permettait de contourner la sécurité.

Victimes ciblées : LockerGoga s'est attaqué à des entreprises manufacturières européennes, notamment Norsk Hydro, où il a provoqué un arrêt informatique mondial.

Attribution : Selon certains chercheurs, LockerGoga est probablement l'œuvre d'un État-nation.

 

Locky

Historique : Locky a commencé à se propager en 2016 et a utilisé un mode d'attaque similaire au malware bancaire Dridex. Locky a inspiré un certain nombre de variantes, notamment Osiris et Diablo6.

Comment ça marche : Les victimes reçoivent généralement un e-mail contenant un document Microsoft Word qui se présente comme une facture. Cette facture contient une macro malveillante. Microsoft désactive les macros par défaut en raison des dangers pour la sécurité. Si les macros sont activées, le document exécute la macro, qui télécharge Locky. Dridex utilise la même technique pour voler les informations d'identification des comptes.

Victimes ciblées : Les premières attaques de Locky ciblaient les hôpitaux, mais les campagnes ultérieures étaient larges et non ciblées.

Attribution : On soupçonne que le groupe cybercriminel à l'origine de Locky est affilié à l'un de ceux à l'origine de Dridex en raison des similitudes entre les deux.


Maze

Historique : Maze est un groupe de ransomware relativement nouveau, découvert en mai 2019. Il est connu pour libérer des données volées au public si la victime ne paie pas pour les décrypter. Le groupe Maze a annoncé en septembre 2020 qu'il mettait fin à ses activités.

Fonctionnement : Les attaquants de Maze s'introduisent généralement dans les réseaux à distance en utilisant des informations d'identification valides qui peuvent être devinées, par défaut, ou obtenues par le biais de campagnes de phishing. Le malware scanne ensuite le réseau à l'aide d'outils open-source pour découvrir les vulnérabilités et se renseigner sur le réseau. Il se déplace ensuite latéralement dans le réseau à la recherche d'autres informations d'identification pouvant être utilisées pour l'escalade des privilèges. Une fois qu'il a trouvé les informations d'identification de l'administrateur du domaine, il peut accéder à tout ce qui se trouve sur le réseau et le chiffrer.