L’évolution des tactiques d’exfiltration de données des groupes de ransomware entre 2019 et 2024 met en lumière leur rôle central de la double extorsion et son impact financier pour les victimes.
Un récent rapport, issu d’une étude approfondie menée par Sekoia, une entreprise spécialisée dans la cybersécurité et la détection avancée des menaces, sur les tactiques d’exfiltration de données par les groupes de ransomware, analyse les techniques et impacts observés entre 2019 et 2024.
L’exfiltration de données : une stratégie clé des campagnes de ransomware
Les campagnes de ransomware ont adopté l’exfiltration de données comme élément clé de leurs stratégies, particulièrement dans le cadre de la double extorsion. Cette technique consiste à voler des données sensibles pour exercer une pression supplémentaire sur les victimes, notamment en menaçant de divulguer les informations volées si une rançon n’est pas payée.
Les groupes comme Maze ont joué un rôle précurseur dans l’adoption de ces pratiques. L’impact financièrement lucratif de ces tactiques est illustré par une augmentation significative des paiements moyens des rançons, passés de 115 000 USD en 2019 à 312 000 USD en 2020.
Motivations et processus d’exfiltration
Les motivations derrière cette évolution incluent la réduction des efforts nécessaires pour contourner les défis liés à l’encryption et le recours à des outils adaptés pour cibler des données précises et sensibles. Parmi les informations recherchées figurent les données financières, les documents confidentiels, les éléments liés à l’infrastructure IT et les fichiers récemment modifiés. Ces données sont souvent triées pour maximiser leur valeur avant d’être utilisées dans des campagnes de double extorsion.
Les campagnes d’exfiltration suivent un processus structuré en plusieurs étapes : reconnaissance, escalade de privilèges, collecte et compression des données avant leur transfert. Ces étapes, souvent effectuées avant la phase d’encryption, permettent d’accélérer l’exfiltration et de minimiser les risques de détection. La compression réduit notamment la taille des fichiers pour éviter des transferts volumineux qui pourraient être détectés.
Outils et acteurs de l’exfiltration
Les outils utilisés dans ces campagnes varient entre solutions personnalisées, logiciels commerciaux et outils légitimes disponibles publiquement. Les groupes avancés développent des outils sur mesure pour accélérer et dissimuler l’exfiltration, tandis que d’autres exploitent des logiciels existants comme WinRAR ou 7-Zip pour compresser les fichiers, ou des plateformes de stockage cloud comme Mega et Dropbox pour transférer les données volées. Le recours à des outils légitimes complique leur détection par les défenses organisationnelles.
Certains groupes utilisent uniquement l’exfiltration de données comme moyen d’extorsion, sans recours à l’encryption. Cette approche, qualifiée de « faible effort, haute récompense », permet de prolonger la furtivité des opérations et de se concentrer sur l’exploitation des données volées. Par ailleurs, certaines opérations de ransomware, menées par des États, utilisent également des techniques d’exfiltration pour déguiser des activités d’espionnage. Des groupes sponsorisés par des États, comme APT33 ou ChamelGang, collaborent avec des fournisseurs de Ransomware-as-a-Service pour voler des données sensibles tout en dissimulant leurs objectifs de collecte de renseignements.
Défis et évolutions des stratégies de défense
Les défis pour les défenseurs incluent la détection des outils utilisés et des comportements suspects, tels que les accès inhabituels à des fichiers sensibles ou les tentatives de transfert massif de données. Les indicateurs d’activité malveillante, comme l’utilisation d’outils dédiés à l’exfiltration ou des connexions à des domaines suspects, peuvent fournir des pistes pour identifier les tentatives d’exfiltration.
Les campagnes actuelles montrent une tendance à l’augmentation de l’exfiltration de données comme technique principale d’extorsion, avec une diversité croissante des outils et des tactiques utilisés. Les acteurs malveillants continuent d’adapter leurs stratégies pour contourner les défenses et maximiser leurs gains financiers.
Pour en savoir plus
Exfiltration de données basée sur des ransomwares : techniques et implications
Introduction Ce rapport se concentre sur les techniques d’exfiltration exploitées par les groupes de ransomware et d’extorsion dans le cadre de campagnes lucratives. Il vise à fournir une analyse complète des techniques et outils utilisés lors de la phase d’exfiltration et de leur impact sur les organisations affectées…
(Re)découvrez également:
Comment les robots aspirateurs peuvent vous espionner
Les robots aspirateurs, bien qu’utiles, présentent des vulnérabilités en matière de cybersécurité, permettant à des hackers d’espionner des domiciles via leur caméra et leur microphone.
