Une étude de ProofPoint a révélé que les auteurs de ransomware utilisent des messages thématiques COVID-19 et des langues maternelles pour attirer les victimes
La société de cybersécurité ProofPoint a publié un rapport qui a révélé une augmentation des attaques de phishing par courrier électronique destinées à obtenir une rançon au cours des derniers mois.
La société a constaté que les premiers déploiements de ransomware sont en augmentation depuis que de nombreuses entreprises du monde entier ont commencé à travailler à partir de modèles domestiques dans le cadre de la pandémie de coronavirus. Selon le rapport, des pays comme les États-Unis, la France, l’Allemagne, la Grèce et l’Italie ont été en grande partie la cible de ces cyber-attaques.
Mr Robot, Avaddon, Philadelphie et Bourane font partie des « familles » de ransomware qui ont été ciblées lors de la récente flambée des ransomware. Le nombre de messages quotidiens par campagne varie de un à 350 000, avec plus d’un million de messages de rançon envoyés en six jours dans le cadre d’une campagne mettant en scène Avaddon.
Chacune de ces campagnes utilise un ransomware pour crypter les fichiers et les données de la victime afin d’obtenir une rançon. Des secteurs tels que l’éducation et l’industrie, suivis des transports, du divertissement, de la technologie, des soins de santé et des télécommunications ont été identifiés comme des cibles privilégiées. Les recherches ont en outre indiqué que les demandes de rançon ont été très faibles par rapport au passé, les attaquants exigeant pour la plupart un paiement en crypto-monnaie.
« Une légère augmentation de la quantité de ransomwares envoyés comme charge utile de première étape via des campagnes de courrier électronique pourrait annoncer le retour de grandes campagnes de rançon, comme nous l’avons vu en 2018 », a laissé entendre le rapport. Les attaquants ont profité de l’afflux de personnes dans l’espace digital dû à la pandémie et ont également exploité les victimes avec des messages de rançon basés sur COVID-19. Ils ont également utilisé des langues maternelles et des messages avec différents thèmes personnalisés pour attirer les victimes, explique le rapport.
Cette récente apparition de ransomware comme charge utile initiale est inattendue après une période aussi longue et relativement calme. Le changement de tactique pourrait être un indicateur que ces auteurs menacant reviennent à des modèles de rançon et les utilisent avec de nouveaux leurres”, indique le rapport.
Avaddon utilise des messages d’ouverture tels que « Le connaissez-vous ? », « Notre vieille photo », etc. pour attirer les victimes et exiger ensuite un paiement de 800 dollars en Bitcoin via TOR. Les agresseurs ont également mis en place une ligne d’assistance téléphonique 24h/24 et 7j/7 pour aider les victimes à payer la rançon et à récupérer leurs dossiers.
« Les différents acteurs qui tentent de récupérer des rançons par courrier électronique n’ont pas vu de volumes importants depuis 2018. Bien que ces volumes soient encore relativement faibles, ce changement est remarquable », met en garde le rapport. « La signification de ce changement n’est pas encore claire, ce qui est clair, c’est que le paysage de la menace change rapidement, et les défenseurs doivent continuer à s’attendre à l’inattendu », ajoute-t-il.