Symantec a mis en garde contre une augmentation significative des attaques de rançongiciels ciblant les entreprises, mais aussi contre la multiplication inquiétante des groupes de pirates à l'origine de ces campagnes. « Même si l’année 2018 a été marquée par une baisse globale du nombre d’attaques de ransomwares, le ciblage des entreprises et d'autres organisations a augmenté de manière significative », a prévenu Symantec dans un livre blanc publié récemment. Selon le fournisseur de services de sécurité, si le nombre de demandes de rançon a diminué d'un cinquième en 2018, les attaques visant les organisations ont augmenté de 12 %, les entreprises représentant 81 % de toutes les demandes de rançon au cours de cette période.

Fin 2015/début 2016, des entreprises de sécurité, dont Symantec, ont averti que des attaquants utilisaient des serveurs JBoss non corrigés comme voie d'accès aux réseaux d'entreprise pour déployer des ransomwares. « Le succès rencontré par le groupe de pirates SamSam a attiré des groupes de plus en plus nombreux », explique ainsi le livre blanc de Symantec. En 2017, SamSam était le seul à cibler spécifiquement les entreprises avec des logiciels de rançon. Puis, début 2018, est apparu le groupe Ryuk. Depuis, d'autres gangs de pirates comme GoGalocker, MegaCortex et Robbinhood, ont été identifiés. « En janvier 2017, Symantec notait qu’un peu plus d’une douzaine d'organisations se faisaient attaquer chaque mois », indique encore le livre blanc du fournisseur de sécurité. « Mais désormais, plus de 50 organisations subissent chaque mois des attaques de ransomware ».

Mimikatz et Wolf-x-full dans la boite à outils des cyberpirates

Le groupe GoGalocker « est tout à fait représentatif de ces attaques ciblées contre les entreprises », déclare encore Symantec dans un article de blog. Selon le fournisseur, les auteurs de ces attaques de ransomware sont suffisamment compétents et bien informés pour pénétrer le réseau de la victime, déployer une série d'outils pour se déplacer et cartographier le réseau, et utiliser des techniques variées pour échapper à la détection, avant de chiffrer simultanément autant de machines que possible. « Dans ses attaques, GoGalocker emprunte beaucoup d’outils et de techniques utilisés par les groupes spécialisés dans l’espionnage, dont un grand nombre d’outils de piratage accessibles au public, et ils savent mettre en œuvre différentes tactiques. Une fois dans le réseau de la victime, les attaquants lancent des commandes PowerShell pour exécuter le shellcode qui leur permet de se connecter au serveur de commande et de contrôle de l'attaquant ».

« Les pirates utilisent par exemple des outils comme Mimikatz et Wolf-x-full pour se déplacer dans le réseau de l’entreprise ciblée et voler des identifiants », a expliqué Symantec. Les attaquants cherchent souvent à désactiver les logiciels de sécurité, puis à déployer des logiciels de rançon sur le réseau. Selon l’entreprise de sécurité, GoGalocker a ciblé des entreprises actives dans les secteurs des services informatiques, de la comptabilité et de l'audit, du conseil, des services financiers, des outils électriques, du bâtiment et de la construction, des services financiers, de l'édition, de l'impression, des métaux, de l'entreposage et du stockage.