Exfiltration de données par les groupes criminels de rançongiciel : techniques et leçons à en tirer
janvier 2, 2025
2 minutes de lecture
L’équipe TDR et plus particulièrement Livia Tibirna et Caroline Lewis de Sekoia.io a récemment publié un rapport sur les techniques utilisées par les groupes criminels de rançongiciel pour exfiltrer les données pour le mode opératoire de la double extorsion.
L’exfiltration de données est devenue incontournable pour le haut du spectre des groupes rançongiciel, ceux qui pratiquent le RaaS, avec l’adoption de la double extorsion quasi systématiquement par les affiliés. Les attaquants utilisent les données exfiltrées pour maximiser la pression sur les victimes pour le paiement de la rançon, en menaçant (et mettant leur menace à exécution) de publier les données sur des sites dédiés.
Cela a conduit certains groupes criminels à se concentrer exclusivement sur l’exfiltration de données sans chiffrement des données. Mais de nos constations sur le terrain, la très grande majorité des groupes criminels et du volume des attaques combinent exfiltration et chiffrement suivant le mode opératoire de la double extorsion.
Les opérateurs de rançongiciel affinent leurs techniques pour maximiser leur levier de pression sur les victimes, en qualifiant et en triant les données collectées pour extraire prioritairement les informations les plus sensibles (données relatives aux affaires ou à caractère personnel en faisant effet de levier sur les réglementations telles le RGPD). Ils utilisent des outils personnalisés et/ou publics pour faciliter l’exfiltration, avec une préférence pour les outils légitimes ou commerciaux pour éviter leur détection. On note la prépondérance de l’utilisation des outils Rclone et Mega. Ces observations sont cohérentes avec les incidents traités par Breizh Cyber avec des cas d’exfiltration de données. On a pu justement observer l’utilisation de Rclone et Mega majoritairement.
Pour se prémunir de ce risque (et permettre aussi de bloquer l’attaquant avant sa phase d’exploitation finale par chiffrement dans la plupart des cas), il est donc fortement recommandé que les organisations mettent en œuvre des moyens de détection des tentatives d’exfiltration par une stratégie de surveillance des comportements suspects et l’utilisation de ces outils d’exfiltration par les acteurs malveillants.
Un grand merci à l’équipe Sekoia pour ce rapport très complet mais surtout actionnable.
Partager :