Le ransomware Sodinokibi/REvil expliqué
Les réseaux de cybercriminels, souvent connus sous le nom de "familles de ransomware", sont devenus de plus en plus sophistiqués ces dernières années. Une famille de ransomware, connue sous le nom de "Sodinokibi" ou "REvil", s'est fait un nom en utilisant son modèle "Ransomware-as-a-Service" (RaaS) pour attaquer à la fois les grandes entreprises et les particuliers.
Plus les opérations de ransomware se compliquent, plus il est difficile de retrouver les principaux responsables. C'est pourquoi les services de cybersécurité tels que Mimecast sont si importants. Ils offrent les outils et les partenariats nécessaires pour se protéger contre les réseaux cybercriminels avancés et leur liste croissante de techniques et d'exploits.
Qu'est-ce qu'un "Ransomware-as-a-Service" ?
Le modèle RaaS fonctionne grâce à un réseau préexistant d'acteurs cybercriminels. Les distributeurs développent les malwares pour qu'ils soient aussi destructeurs que possible, puis les transmettent à des "affiliés". Ces affiliés effectueront ensuite l'attaque par ransomware.
En général, les affiliés ont accès aux malwares par le biais de services d'abonnement qui impliquent une réduction mensuelle pour les distributeurs et les affiliés, ou ils achètent une licence unique aux développeurs, de la même manière que de nombreuses plateformes de logiciels commerciaux fonctionnent.
"L'avantage de ce modèle est que la recherche de la source du malware et la traque des cybercriminels attaquants deviennent une double tâche." Même si vous trouvez les affiliés, leur trace ne mène pas nécessairement aux développeurs du logiciel, et vice-versa.
Comment fonctionne le ransomware Sodinokibi ?
La famille de ransomware Sodinokibi/REvil utilise divers vecteurs d'attaque, exploitant les attaques RDP, les vulnérabilités logicielles et la sensibilité humaine aux attaques de phishing et aux escroqueries par courrier électronique.
Une fois que les affiliés de Sodinokibi/REvil ont trouvé un moyen d'installer leurs fichiers dans votre système, ils chiffrent vos fichiers et toutes les sauvegardes existantes qu'ils peuvent trouver sur votre réseau. Vous recevrez alors un message vous demandant de payer en bitcoins en échange de vos fichiers manquants.
Si vous êtes victime d'une attaque, il est recommandé de ne pas négocier avec vos agresseurs. Rien ne garantit que vous recevrez vos informations, et même si vous les recevez, rien n'empêche ces cybercriminels de vendre des copies de vos informations privées à d'autres criminels.
Qu'est-ce que le ransomware Sodinokibi/REvil ?
Le ransomware Sodinokibi est une opération particulière de Ransomware-as-a-Service qui semble provenir de Russie ou d'Europe de l'Est vers 2019. L'objectif de cette famille de ransomware semble être explicitement monétaire, puisque leur mode de fonctionnement général consiste à collecter des informations privées ou des données d'entreprise et à menacer de publier ces informations si la rançon n'est pas payée.
Depuis sa création, la famille s'est attaquée à de grandes entreprises telles qu'Apple, ainsi qu'à des célébrités et à des hommes politiques, tels que Madonna et d'anciens présidents des États-Unis.
Cependant, il n'est pas certain que le groupe soit toujours actif. Depuis juillet 2021, tous les sites affiliés au ransomware Sodinokibi/REvil connus sont inactifs. Si cette inactivité est prometteuse, ce silence radio ne garantit en aucun cas que le groupe a entièrement cessé ses activités. Cela pourrait signifier qu'ils sont devenus plus difficiles à trouver.
Comment puis-je me protéger contre REvil/Sodinokibi ?
La meilleure façon de se protéger contre le ransomware REvil/Sodinokibi est d'adopter une approche multidimensionnelle comprenant la sensibilisation à la sécurité, l'analyse du courrier électronique et l'audit de vos mesures de cybersécurité actuelles.
La sensibilisation à la sécurité consiste à former votre personnel à reconnaître les escroqueries par phishing et les pièces jointes défectueuses. Cela devrait toujours être la première ligne de défense des entreprises, car le phishing et les escroqueries par courrier électronique sont les vecteurs d'attaque les plus courants pour les criminels qui utilisent des ransomwares, y compris des familles telles que Sodinokibi.
Les experts en cybersécurité comme Mimecast proposent des formations de sensibilisation à la sécurité, l' analyse des courriels et des archives de récupération basées sur le cloud. Ainsi, même si vous êtes victime d'une attaque de ransomware, vous n'aurez pas à vous sentir redevable envers les cybercriminels pour obtenir l'accès à vos informations privées.
Suivez l'évolution de Sodinokibi et d'autres familles de ransomware
Qu'il s'agisse du ransomware Sodinokibi ou de tout autre réseau de ransomware, vous et votre organisation devez être équipés pour faire face aux attaques de cybersécurité. Dans le cas contraire, le risque de ces attaques est suffisamment important pour que vous puissiez perdre toute votre infrastructure informatique, ainsi que toutes les informations privées que vous pourriez avoir stockées dans votre réseau informatique.
Mimecast vous fournit tous les outils nécessaires pour prévenir ces incidents. Ils vous permettent également, à vous et à votre équipe, d'acquérir les connaissances et les moyens nécessaires pour faire face à d'éventuelles attaques.
Découvrez comment Mimecast peut aider votre organisation et devenez partenaire de Mimecast dès aujourd'hui pour vous protéger contre les ransomwares.
