Durant le mois, les chercheurs en cybersécurité de Proofpoint ont observé une légère augmentation des attaques par email utilisant des rançongiciels comme première charge utile.
Un changement de tactique notable pour les cybercriminels, qui, par le passé, utilisaient les téléchargeurs comme première charge utile pour livrer des rançongiciels dans un second temps seulement. « Cette légère augmentation de rançongiciels envoyés en première charge utile par des campagnes email pourrait annoncer le retour des grandes campagnes de rançon déjà observées en 2018 », estime Sherrod Degrippo, directeur de la recherche et de la détection des menaces chez Proofpoint.
Ces attaques visent principalement les États-Unis, la France, l’Allemagne, la Grèce et l’Italie, et les campagnes menées utilisent souvent des leurres et des messages en langue maternelle pour mieux piéger leurs victimes.
Parmi les familles de rançongiciels observées, le spécialiste cite Avaddon, Buran (nom de la navette spatiale russe), Darkgate, Philadelphia (déjà observé par Proofpoint en 2017), Mr. Robot et Ranion. Chacune de ces familles de rançongiciel crypte les fichiers de la victime et les conserve en vue d’un paiement de la rançon.
Avaddon, une nouvelle famille
Les volumes quotidiens varient de 1 à 350 000 messages pour chaque campagne, et plus d’un million de messages entre le 4 et le 10 juin 2020 mettaient en vedette Avaddon. Les chercheurs ont détecté une variété de thèmes dans ces messages de rançon, y compris certains qui exploitent le Covid-19. De nombreuses industries ont été ciblées incluant l’éducation, l’industrie, les transports, les loisirs, la technologie, les soins de santé et les télécommunications.
Avaddon, qui cible les organisations américaines, « fait souvent partie de campagnes à grande échelle », indique le chercheur. « Plus d’un million de messages avec Avaddon comme charge utile ont été envoyés du 4 au 10 juin 2020 et plus de 750 000 messages ont été envoyés le seul 6 juin 2020. Ces campagnes ont été principalement envoyées aux entreprises manufacturières, éducatives, de médias et de divertissement. »
Avaddon est un exemple de « Ransomware-as a Service » (RaaS) : les pirates utilisent des rançonlogiciels et une infrastructure prêts à l’emploi. Les messages associés à ses campagnes avaient récemment pour objets, des phrases comme « Est-ce-que tu le connais? » « Notre vieille photo » « Une photo pour toi » « Aimes-tu ma photo? » « Est-ce toi ? » « Ta nouvelle photo? » ou encore « J’aime cette photo ».
Une fois ouverte, la pièce jointe incluse dans le mail télécharge Avaddon à l’aide de PowerShell. Une fois Avaddon exécuté, il affiche le message de rançon (voir la capture ci-dessous) et demande plus tard un paiement de 800 $ en bitcoin via TOR.
