Détecter l'indétectable : comment CyberSense combat les rançongiciels les plus insaisissables d'aujourd'hui
Ransomware Le nombre d'attaques a bondi de 411 % à l'échelle mondiale ces derniers mois, trois groupes dominant le paysage des menaces : Qilin, Akira, et Jouer. Ce qui rend ces variantes particulièrement dangereuses, c'est leur pouvoir destructeur et leur capacité sophistiquée à corrompre des données tout en passant sous le radar des outils de sécurité traditionnels.
Ces rançongiciel en tant que service Les opérations (RaaS) ont maîtrisé l'art de l'évasion, employant des tactiques spécifiquement conçues pour éviter de déclencher les alarmes de sécurité lors de la phase la plus critique d'une attaque : corruption des données.
Actif depuis 2022, Qilin s'est fait connaître pour son adaptabilité caméléonique. Cette menace multiplateforme cible les environnements Windows et Linux/ESXi via des campagnes de phishing, des services RDP exposés, des vulnérabilités VPN, et même des compromissions de la chaîne d'approvisionnement.
Ce qui distingue Qilin, c'est sa nature personnalisable. Chaque charge utile est adaptée à chaque victime, avec des extensions de fichiers uniques, des notes de rançon et des modes de chiffrement, rendant la détection basée sur les signatures quasiment impossible. Le groupe utilise un chiffrement intermittent, ne chiffrant que des portions sélectionnées de fichiers plutôt que des ensembles de données entiers. Cette approche réduit considérablement les changements soudains et à grande échelle qui alertent généralement les systèmes de sécurité.
Leur sophistication technique va plus loin : Qilin utilise l'injection de DLL réflexive pour s'exécuter entièrement en mémoire, laissant un minimum de traces sur le disque. Le logiciel malveillant termine activement les processus de sécurité, efface les journaux d'événements Windows, supprime les copies d'ombre de volume et se supprime lui-même après exécution, effaçant systématiquement les preuves de sa présence.
Apparaissant en 2023, Akira est rapidement devenue l'une des familles de rançongiciels les plus prolifiques, ciblant les entreprises, les universités et les services essentiels sur plusieurs plateformes. Le groupe privilégie les vulnérabilités VPN dans les appareils Cisco, SonicWall et Fortinet, combinées à des identifiants volés et des attaques par hameçonnage.
La caractéristique déterminante d'Akira est sa stratégie de chiffrement partiel. À l'aide d'indicateurs de ligne de commande, les attaquants contrôlent le pourcentage de chaque fichier qui sera chiffré, juste assez pour rendre les données inutilisables tout en évitant les changements spectaculaires du système qui déclenchent des alertes. Leur modèle de chiffrement hybride, combinant ChaCha20 et RSA, offre une vitesse fulgurante, réduisant la fenêtre de détection et de réponse.
Le groupe excelle également à “vivre de la terre”, en exploitant des outils légitimes tels que PowerShell, Rclone et WinSCP pour le mouvement latéral et l'exfiltration de données. En armant des applications de confiance, Akira mélange l'activité malveillante avec les opérations normales du système. Avant que le chiffrement ne commence, le logiciel malveillant stoppe systématiquement les processus de sécurité et supprime les mécanismes de sauvegarde, laissant les victimes sans défense.
Opérant mondialement depuis 2022, le rançongiciel Play a ciblé des agences gouvernementales, des institutions financières et des géants de la fabrication aux États-Unis, en Europe et en Amérique latine. Leurs vecteurs d'attaque vont des compromissions de MSP qui permettent des attaques en aval à l'exploitation de vulnérabilités dans les systèmes RDP, Microsoft Exchange et Fortinet, y compris des exploits zero-day.
La technique d'évasion caractéristique de Play est le chiffrement intermittent au niveau des blocs, qui chiffre des segments sélectifs (par exemple, tous les 0x100000 octets) plutôt que des fichiers entiers. Cela réduit considérablement l'empreinte des modifications de fichiers, rendant la détection extrêmement difficile. Chaque attaque utilise un binaire recompilé de manière unique avec des signatures de hachage différentes, déjouant les outils de sécurité basés sur les signatures.
Le groupe évite délibérément de chiffrer les fichiers système, ce qui permet d'éviter les pannes qui alerteraient immédiatement les utilisateurs ou déclencheraient des réponses automatisées. Les données sont compressées et segmentées pour exfiltration avant chiffrement, et les notes de rançon sont placées stratégiquement dans des endroits obscurs, retardant ainsi leur découverte jusqu'à ce que les dégâts soient maximaux.
Malgré leurs différences, les trois groupes partagent une stratégie unifiée :
Les outils de sécurité traditionnels peinent car ils sont conçus pour intercepter des anomalies évidentes et à grande échelle. Ces variantes réussissent précisément parce qu'elles ont appris à rester sous ces seuils de détection.
La réalité est brutalement claire : ce n'est pas si votre organisation sera ciblée, mais quand. Les défenses du périmètre réseau, bien qu'essentielles, ne peuvent garantir la prévention. Ce dont les organisations ont besoin, c'est de la capacité à détecter la corruption des données au moment où elle commence, quelle que soit la subtilité de l'attaque.
CyberSense relève ce défi en surveiller en permanence l'intégrité des données sur les fichiers et bases de données critiques. Plutôt que de s'appuyer sur des modèles comportementaux ou des signatures que les rançongiciels sophistiqués sont conçus pour contourner, CyberSense surveille l'intégrité réelle de vos données elles-mêmes.
Lorsque le chiffrement intermittent de Qilin commence à corrompre des fichiers, lorsque le chiffrement partiel d’Akira modifie même de petits pourcentages de données, ou lorsque le chiffrement au niveau du bloc de Play commence sa destruction sélective, CyberSense détecte ces modifications en temps réel. Laboratoire de Recherche CyberSense a confirmé la capacité de CyberSense à identifier les attaques provenant des trois variantes, ainsi que des milliers d'autres familles de rançongiciels.
Cette capacité de détection précoce est essentielle. Plus vite vous identifiez la corruption des données, plus le rayon d'impact est réduit, plus la récupération est rapide et plus l'impact global est faible. CyberSense vous donne l'assurance que, même lorsque des attaquants sophistiqués franchissent vos défenses périmétriques, vous saurez quand ils toucheront vos données critiques, vous donnant le temps précieux nécessaire pour réagir, isoler et récupérer.
Alors que les groupes de rançongiciels font évoluer continuellement leurs techniques d'évasion, la surveillance de l'intégrité des données est bien plus qu'une couche de défense supplémentaire. Elle devient la dernière ligne de protection essentielle.
