Une entreprise Fortune 50 a versé une rançon record de 75 millions de dollars au gang de ransomwares Dark Angels, selon un rapport de Zscaler ThreatLabz.

« Au début de 2024, ThreatLabz a découvert une victime qui a payé 75 millions de dollars à Dark Angels, un montant supérieur à tout montant connu du public— une réalisation qui ne manquera pas d’attirer l’intérêt d’autres attaquants cherchant à reproduire un tel succès en adoptant leurs tactiques clés (que nous décrivons ci-dessous) », lit-on dans le rapport 2024 sur le ransomware Zscaler.

Ce paiement record a été confirmé par la société de renseignement cryptographique Chainalysis, qui a tweeté à ce sujet sur X.

Le plus gros paiement de rançon connu était auparavant de 40 millions de dollars, que le géant de l’assurance CNA a payé après avoir subi une attaque de ransomware Evil Corp.

Bien que Zscaler n’ait pas indiqué quelle entreprise avait payé la rançon de 75 millions de dollars, ils ont mentionné que l’entreprise faisait partie du Fortune 50 et que l’attaque avait eu lieu au début de 2024.

Une entreprise Fortune 50 qui a subi une cyberattaque en février 2024 est le géant pharmaceutique Cencora, classé #10 sur la liste. Aucun gang de ransomware n’a jamais revendiqué la responsabilité de l’attaque, indiquant potentiellement qu’une rançon avait été payée.

BleepingComputer a contacté Cencora pour lui demander s’ils avaient payé la rançon aux Dark Angels, mais n’a pas encore eu de nouvelles.

Qui est Dark Angels
Dark Angels est une opération de ransomware lancée en mai 2022 lorsqu’elle a commencé à cibler des entreprises du monde entier.

Comme la plupart des gangs de ransomwares exploités par des humains, les opérateurs Dark Angels violent les réseaux d’entreprise et se déplacent latéralement jusqu’à ce qu’ils obtiennent éventuellement un accès administratif. Pendant ce temps, ils volent également des données sur des serveurs compromis, qui sont ensuite utilisées comme levier supplémentaire lors des demandes de rançon.

Lorsqu’ils accèdent au contrôleur de domaine Windows, les auteurs de la menace déploient le ransomware pour chiffrer tous les périphériques du réseau.

Lorsque les auteurs de la menace ont lancé leur opération, ils ont utilisé des chiffrements Windows et VMware ESXi basés sur le code source divulgué pour le ransomware Babuk.

Cependant, au fil du temps, ils sont passés à un chiffreur Linux qui était le même que celui utilisé par Ragnar Locker depuis 2021. Ragnar Locker a été perturbé par les forces de l’ordre en 2023.

Ce chiffreur Linux a été utilisé dans une attaque des Dark Angels contre Johnson Controls pour chiffrer les serveurs VMware ESXi de l’entreprise.

Dans cette attaque, les Dark Angels ont affirmé avoir volé 27 To de données d’entreprise et exigé un paiement de rançon de 51 millions de dollars.

Demande de rançon Dark Angels

Les auteurs de la menace exploitent également un site de fuite de données nommé « Dunghill Leaks » qui est utilisé pour extorquer ses victimes, menaçant de divulguer des données si une rançon n’est pas payée.

Le « fumier » de Dark Angel fuit le site de fuite de données

Zscaler ThreatLabz dit que Dark Angels utilise la stratégie de » chasse au gros gibier », qui consiste à cibler uniquement quelques entreprises de grande valeur dans l’espoir de paiements massifs plutôt que de nombreuses entreprises à la fois pour des paiements de rançon nombreux mais plus petits.

« Le groupe Dark Angels utilise une approche très ciblée, attaquant généralement une seule grande entreprise à la fois », explique les chercheurs de Zscaler ThreatLabz.

« Cela contraste fortement avec la plupart des groupes de ransomwares, qui ciblent les victimes sans discernement et externalisent la majeure partie de l’attaque vers des réseaux affiliés de courtiers d’accès initiaux et d’équipes de tests d’intrusion. »

Selon Chainalysis, la tactique de chasse au gros gibier est devenue une tendance dominante utilisée par de nombreux gangs de ransomwares au cours des dernières années.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *