FBI Trouvé 100 Groupes Ransomware Actifs
JAKARTA - Le FBI a suivi plus de 100 groupes de ransomware actifs. Le chiffre a été rapporté par Bryan Vorndran, directeur adjoint de la division cyber de l’agence, lors d’une audience de la commission judiciaire du Sénat sur les ransomwares.
L’audience a mis en évidence les principaux problèmes auxquels les États-Unis sont confrontés pour tenter d’atténuer les effets des clusters de ransomwares qui attaquent les entreprises, les écoles et d’autres organisations.
Plusieurs groupes de ransomware sont devenus silencieux ces derniers mois après avoir mené des attaques majeures qui ont attiré l’attention du monde entier. DarkSide, par exemple, le groupe qui a piraté le Colonial Pipeline en mai, a disparu d’Internet quelques jours plus tard.
Il y a aussi REvil, l’un des groupes de ransomware les plus actifs à ce jour, mais a mystérieusement disparu plus tôt ce mois-ci après une attaque généralisée qui a infecté plus de 1.500 organisations dans le monde entier. La disparition de ce groupe ransomware pâlit en comparaison de la façon dont la pègre ransomware est répandue.
« Il semble que de nouveaux groupes apparaissent tout le temps. Dans certains cas, ils sont affiliés à d’autres opérations. Dans certains cas, ils rebaptisent », a déclaré Brett Callow, analyste au cabinet de cybersécurité Emsisoft, à NBCNews, mercredi 28 juillet.
Les chercheurs ont examiné plus de 1.000 clusters ransomware, Bien que la plupart semblent avoir disparu. « Dans un groupe sérieux, nouvellement nommé, vous pourriez en avoir un ou deux par mois », a déclaré Callow.
Traquer les cybercriminels derrière ransomware est une tâche difficile. Les pirates qui créent et maintiennent un logiciel ransomware sont souvent différents de ceux qui le propagent, les deux parties partageant les bénéfices.
Le groupe Ransomware est souvent identifié par le nom qui lui est donné par le fabricant de logiciels. Mais les membres ne sont pas clairs qui et quels sont leurs objectifs, comme les pirates qui embauchent des types bien connus de ransomware pour certaines attaques peuvent ne pas avoir eu une affiliation préalable avec les concepteurs de logiciels malveillants.
Alors que de nombreux pirates de ransomware prétendent être russes, et l’administration du président américain Joe Biden n’a fait aucune tentative pour arrêter ces hacks, les opérations de ransomware sont souvent des entreprises multinationales.
« Alors que le développeur peut être basé en Russie, l’affilié qui se propage le ransomware peut ou peut ne pas être basé en Russie », Vorndran dit.
Vorndran a déclaré que la cartographie d’un examen complet d’une opération de ransomware particulière est extrêmement difficile, car les pirates derrière eux sont souvent bons pour cacher des traces.
« C’est très difficile d’obtenir l’attribution au clavier ou aux acteurs derrière le clavier. J’estime qu’environ la moitié de nos cas n’ont pas d’attributions précises en raison de la complexité de ces cas », a conclu M. Vorndran.