MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Nous ne parlons pas du nombre de fichiers chiffrés ou d’organisations touchées il s’agit de 3 millions d’attaques uniques de ransomware perpétrées contre des organisations.
La majorité des organisations qui ont été victimes d’une attaque par ransomware ont subi des répercussions importantes sur leur activité, notamment une perte de revenus, une atteinte envers la réputation de l’organisation, des réductions d’effectifs, voire la fermeture pure et simple de l’entreprise.
Jusqu’à présent, ce ne sont pas moins de 200 attaques par ransomware qui ont fait les gros titres en 2021, et il ne s’agit là que des attaques par ransomware qui ont été reconnues publiquement. Pour comprendre comment nous en sommes arrivés là, il convient d’examiner l’évolution de la menace au fil des ans.
C’est en 1989 qu’est apparu le premier cas documenté de ransomware. En décembre de cette année-là, le Dr Joseph Popp, biologiste évolutionniste diplômé de Harvard, a envoyé 20 000 disquettes infectées par un virusinformatique à des personnes qui avaient assisté à la conférence internationale sur le sida organisée par l’Organisation mondiale de la santé à Stockholm.
Une fois chargé sur un ordinateur, le virus cachait les répertoires de fichiers, verrouillait les noms de fichiers et informait les victimes qu’elles ne pouvaient rétablir l’accès à leurs fichiers qu’en envoyant 189 dollars à une boîte postale située au Panama.
Le Dr Popp a fini par attirer l’attention des autorités alors qu’il se trouvait à l’aéroport de Schiphol, environ deux semaines après l’attaque. Par la suite, les forces de l’ordre ont arrêté le biologiste au domicile de ses parents et l’ont extradé vers le Royaume-Uni. Là-bas, il a dû répondre de dix chefs d’accusation d’extorsion et de dommages criminels pour avoir distribué ce qu’on appelle aujourd’hui le "cheval de Troie du sida".
Près de 20 ans plus tard, à la suite de l’incident du cheval de Troie du sida, les premiers variants de ransomware sont apparus dans le paysage des menaces. Ces premières versions ciblaient les utilisateurs en Russie en verrouillant les machines des victimes et en les empêchant d’utiliser les fonctions de base de leur ordinateur, comme le clavier et la souris, comme l’ont noté des chercheurs de la Kennesaw State University.
Après avoir affiché une "image adulte" sur les ordinateurs infectés, le ransomware demandait aux victimes d’appeler un numéro de téléphone surtaxé ou d’envoyer un SMS pour répondre aux demandes de rançon des attaquants.
En 2013, une nouvelle menace de ransomware appelée cryptoLocker s’installe dans le dossier "Documents and Settings" des victimes de Windows et s’ajoute alors à la liste du registre. Après s’être connectée à l’un de ses serveurs de commande et de contrôle (C&C) codés en dur, la menace télécharge un petit fichier pour identifier sa victime et a utilisé ce fichier pour générer une paire de clés publique-privée.
Elle exploite ensuite la clé publique pour chiffrer les documents, feuilles de calcul, images et autres fichiers des victimes avant d’afficher la demande de rançon. Ce message informait la victime qu’elle disposait de 72 heures pour payer une rançon de 300 dollars, une somme dérisoire par rapport aux rançons demandées aujourd’hui, qui se chiffrent en dizaines de millions.
Les attaques impliquant cryptoLocker sont devenues plus fréquentes dans les années qui ont suivi. Selon les chercheurs de la Kennesaw State University, le FBI a estimé que les victimes avaient versé 27 millions de dollars aux opérateurs de cryptoLocker à la fin de 2015.
Au début de l’année 2018, le FBI a observé un déclin des attaques indiscriminées par ransomware. Ses analystes ont vu ces campagnes céder la place à des opérations ciblant les entreprises en particulier, les administrations d’État et locales, les entités de soins de santé, les entreprises industrielles et les organisations de transport.
De nombreux groupes de ransomware ont opté pour le ciblage des grandes organisations afin de pouvoir chiffrer des données de grande valeur, compromettre les opérations des victimes et exiger ainsi le paiement d’une rançon encore plus élevée. Le rapport Ransomware : “The True Cost to Business` mentionné ci-dessus met en évidence certaines des répercussions que ces attaques peuvent avoir sur les organisations, notamment :
La perte de revenus commerciaux : 66% des organisations ont signalé une perte de revenus significative à la suite d’une attaque par ransomware.
Une atteinte à la marque et à la réputation : 53% des entreprises ont indiqué que leur marque et leur réputation avaient été endommagées à la suite d’une attaque réussie.
La perte de talents : 32% des entreprises ont déclaré avoir perdu des employés en conséquence directe d’une attaque par ransomware.
Le licenciement d’employés : 29% des entreprises ont déclaré avoir été contraintes de licencier des employés en raison de pressions financières suite à une attaque par ransomware.
Vers la fin du mois de novembre 2019, le groupe Maze avait réussi à pénétrer dans une entreprise de dotation en personnel de sécurité en volant ses informations en clair avant de chiffrer ses fichiers. Pour prouver ses dires, les attaquants ont envoyé un échantillon de fichiers volés à l’entreprise et ont laissé fuiter 700 Mo de données en ligne peu après.
D’autres groupes de ransomware ont adopté cette technique de "double extorsion" dans les mois qui ont suivi. Ce faisant, ils ont pris l’avantage sur les entreprises ayant une stratégie de sauvegarde des données. Ils savaient que les victimes pouvaient utiliser leurs copies de données pour restaurer les ordinateurs infectés, mais qu’elles ne pouvaient pas inverser le cours du vol de données.
Les attaquants ont donc demandé à leurs victimes de payer deux rançons, l’une pour le décryptage de leurs données et l’autre pour la suppression de leurs informations des serveurs de leur entreprise.
Dans un récent article, nous avons expliqué comment les attaques RansomOps complexes d’aujourd’hui s’apparentent davantage à des opérations furtives de type APT qu’aux anciennes campagnes de spam par e-mail de masse de type "spray and pray", comme celles mentionnées ci-dessus. L’article abordait également la question de l’économie des ransomwares, chacun ayant sa propre spécialisation.
Ces acteurs comprennent les courtiers d’accès initial (IAB), qui préparent le terrain pour une attaque de ransomware en s’infiltrant dans un réseau et en se déplaçant latéralement pour maximiser l’impact potentiel, et les opérateurs de Ransomware-as-a-Service (RaaS), qui fournissent une infrastructure d’attaque aux affiliés qui mènent les attaques.
Ce niveau de compromission place les attaquants de RansomOps dans une position où ils peuvent exiger des rançons encore plus importantes. Les techniques de RansomOps impliquent aussi généralement des techniques d’extorsion multiples, comme la tactique de double extorsion évoquée plus haut.
Certains groupes sont allés plus loin : le gang du ransomware Grief a commencé à menacer de supprimer la clé de déchiffrement de la victime si celle-ci choisissait d’engager quelqu’un pour l’aider à négocier la demande de rançon. Le groupe RagnarLocker avait déjà menacé de publier les données d’une victime si celle-ci informait le FBI ou les autorités locales de l’attaque en cours.
Il est possible pour les entreprises de se défendre contre les ransomwares et les RansomOps dès les premières étapes d’une attaque. N’oubliez pas que la charge utile du ransomware est la toute dernière étape d’une attaque RansomOps. Il y a donc des semaines, voire des mois, d’activité détectable avant la livraison de la charge utile, ce qui permet de déjouer une attaque avant que l’organisation ciblée ne subisse de graves conséquences.
La clé pour mettre fin aux attaques de ransomware est de minimiser la période entre le moment où une attaque RansomOps s’infiltre dans votre environnement et le moment où l’équipe de sécurité peut la détecter et y mettre fin. Cet objectif ne peut être atteint à l’aide de technologies dépassées qui s’appuient sur des renseignements sur les menaces tirés de produits de base ou d’autres attaques "connues".
C’est pourquoi de nombreuses organisations ont choisi d’adopter des solutions capables de détecter des attaques uniques et très ciblées en se basant sur des signaux comportementaux plus subtils qui peuvent faire apparaître ces attaques plus tôt et ainsi permettre de les contrer.
Comme ces solutions s’avèrent plus efficaces que celles utilisées au préalable, il sera intéressant de voir comment les attaquants s’adaptent et continuent à faire évoluer leurs outils et tactiques pour contrer, une fois encore, ces nouvelles solutions de sécurité.
