💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories

Comment les ransomwares volent vos données

L’évolution des tactiques d’exfiltration de données des groupes de ransomware entre 2019 et 2024 met en lumière leur rôle central de la double extorsion et son impact financier pour les victimes.

Un récent rapport, issu d’une étude approfondie menée par Sekoia, une entreprise spécialisée dans la cybersécurité et la détection avancée des menaces, sur les tactiques d’exfiltration de données par les groupes de ransomware, analyse les techniques et impacts observés entre 2019 et 2024.

L’exfiltration de données : une stratégie clé des campagnes de ransomware

Les campagnes de ransomware ont adopté l’exfiltration de données comme élément clé de leurs stratégies, particulièrement dans le cadre de la double extorsion. Cette technique consiste à voler des données sensibles pour exercer une pression supplémentaire sur les victimes, notamment en menaçant de divulguer les informations volées si une rançon n’est pas payée.

Les groupes comme Maze ont joué un rôle précurseur dans l’adoption de ces pratiques. L’impact financièrement lucratif de ces tactiques est illustré par une augmentation significative des paiements moyens des rançons, passés de 115 000 USD en 2019 à 312 000 USD en 2020.

Motivations et processus d’exfiltration

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

Les motivations derrière cette évolution incluent la réduction des efforts nécessaires pour contourner les défis liés à l’encryption et le recours à des outils adaptés pour cibler des données précises et sensibles. Parmi les informations recherchées figurent les données financières, les documents confidentiels, les éléments liés à l’infrastructure IT et les fichiers récemment modifiés. Ces données sont souvent triées pour maximiser leur valeur avant d’être utilisées dans des campagnes de double extorsion.

Les campagnes d’exfiltration suivent un processus structuré en plusieurs étapes : reconnaissance, escalade de privilèges, collecte et compression des données avant leur transfert. Ces étapes, souvent effectuées avant la phase d’encryption, permettent d’accélérer l’exfiltration et de minimiser les risques de détection. La compression réduit notamment la taille des fichiers pour éviter des transferts volumineux qui pourraient être détectés.

Outils et acteurs de l’exfiltration

Les outils utilisés dans ces campagnes varient entre solutions personnalisées, logiciels commerciaux et outils légitimes disponibles publiquement. Les groupes avancés développent des outils sur mesure pour accélérer et dissimuler l’exfiltration, tandis que d’autres exploitent des logiciels existants comme WinRAR ou 7-Zip pour compresser les fichiers, ou des plateformes de stockage cloud comme Mega et Dropbox pour transférer les données volées. Le recours à des outils légitimes complique leur détection par les défenses organisationnelles.

Certains groupes utilisent uniquement l’exfiltration de données comme moyen d’extorsion, sans recours à l’encryption. Cette approche, qualifiée de « faible effort, haute récompense », permet de prolonger la furtivité des opérations et de se concentrer sur l’exploitation des données volées. Par ailleurs, certaines opérations de ransomware, menées par des États, utilisent également des techniques d’exfiltration pour déguiser des activités d’espionnage. Des groupes sponsorisés par des États, comme APT33 ou ChamelGang, collaborent avec des fournisseurs de Ransomware-as-a-Service pour voler des données sensibles tout en dissimulant leurs objectifs de collecte de renseignements.

Défis et évolutions des stratégies de défense

Les défis pour les défenseurs incluent la détection des outils utilisés et des comportements suspects, tels que les accès inhabituels à des fichiers sensibles ou les tentatives de transfert massif de données. Les indicateurs d’activité malveillante, comme l’utilisation d’outils dédiés à l’exfiltration ou des connexions à des domaines suspects, peuvent fournir des pistes pour identifier les tentatives d’exfiltration.

Les campagnes actuelles montrent une tendance à l’augmentation de l’exfiltration de données comme technique principale d’extorsion, avec une diversité croissante des outils et des tactiques utilisés. Les acteurs malveillants continuent d’adapter leurs stratégies pour contourner les défenses et maximiser leurs gains financiers.

Pour en savoir plus

Exfiltration de données basée sur des ransomwares : techniques et implications

Introduction Ce rapport se concentre sur les techniques d’exfiltration exploitées par les groupes de ransomware et d’extorsion dans le cadre de campagnes lucratives. Il vise à fournir une analyse complète des techniques et outils utilisés lors de la phase d’exfiltration et de leur impact sur les organisations affectées…

Lire la suite sur SEKOIA.IO Blog
Exfiltration de données basée sur des ransomwares : techniques et implications

(Re)découvrez également:

Comment les robots aspirateurs peuvent vous espionner

Les robots aspirateurs, bien qu’utiles, présentent des vulnérabilités en matière de cybersécurité, permettant à des hackers d’espionner des domiciles via leur caméra et leur microphone.

Lire la suite sur dcod.ch
Comment les robots aspirateurs peuvent espionner • DCOD Cybersécurité Les robots aspirateurs sont devenus de plus en plus populaires dans les foyers, offrant un moyen pratique de garder les sols propres sans effort. Cependant, ces appareils connectés à Internet peuvent également représenter une menace pour la vie privée et la sécurité des données. En effet, certains modèles de robots aspirateurs sont équipés de caméras et de microphones qui pourraient être piratés pour espionner les occupants de la maison. De plus, les données collectées par ces appareils, telles que les plans de la maison et les horaires de nettoyage,

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

🤔À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

🤔 Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏