Rechercher

La montée en puissance des ransomwares

Depuis les années 2010, l’industrie du ransomware s’est professionnalisée. De nos jours, elle adopte un modèle économique encore plus agressif.

Ransomware as a service

Comme nous l’avons vu dans le premier épisode de notre série d’articles sur les ransomwares, le boom du bitcoin du milieu des années 2010 a généré une augmentation des attaques par ransomware et a transformé la stratégie des attaquants. Les rançons demandées, sous forme de crypto-monnaies, ont permis aux attaquants de conserver un certain anonymat. Les paiements en bitcoins sont en effet plus difficiles à retracer que ceux effectués avec une monnaie ordinaire.

Parce que les crypto-monnaies permettent de gagner plus facilement de l’argent avec les ransomwares, les attaques ont augmenté tout au long de l’année 2016, avec à leur tête des groupes tels que Locky ou Cerber. Locky est le plus souvent distribué à l’aide d’un courriel, avec un document Word en pièce jointe qui, lorsqu’il est ouvert, contient une série de caractères invitant le lecteur à activer les macros afin de pouvoir le visualiser. L’activation des macros entraîne en réalité le téléchargement et l’exécution du cheval de Troie de chiffrement. Ce stratagème d’ingénierie sociale consistant à envoyer par e-mail des documents Word contenant des macros malveillantes a également été utilisé par Cerber.

L’année 2016 a également été celle de l’apparition du premier cas de ransomware-as-a-service (RaaS) (ransomware en tant que service en français). Des membres de Cerber proposaient effectivement à la location des accès à des associés en échange d’un pourcentage des rançons payées. Le fait de décharger le travail de recherche de cibles et d’infection des systèmes à des partenaires permet  ainsi aux développeurs de ransomware de mener plus d’attaques.

Le cauchemar WannaCry

C’est en 2017 que les ransomwares ont été attirés l’attention des médias. L’attaque de ransomware WannaCry, en mai de cette même année, s’est propagée mondialement et rapidement par l’intermédiaire d’ordinateurs Microsoft Windows non patchés ou obsolètes.

WannaCry s’est disséminé en utilisant l’exploit SMB EternalBlue, développé par l’Agence nationale de sécurité des États-Unis (NSA), puis volé et diffusé par le groupe de pirates « Shadow Brokers ». Bien que Microsoft ait publié un correctif critique un mois précédant l’attaque, de nombreux systèmes n’ont pas été corrigés et sont donc restés vulnérables, ce qui a permis la propagation rapide du malware.

Même si certains rapports montrent que les victimes ont payé la rançon demandée en bitcoins, rien ne prouve que leurs fichiers aient été déchiffrés. En effet, il est généralement admis qu’aucun moyen viable de décrypter les fichiers intégrés dans le logiciel malveillant n’existait. Cela signifie qu’il s’agissait d’un destructeur de données.

Au total, les systèmes informatiques de 150 pays ont été touchés et les pertes totales causées au niveau mondial ont été estimées à 4 milliards de dollars.

Puis, vint NotPetya

NotPetya a suivi de près WannaCry en juin 2017. Largement considéré comme un acte de cyberguerre de la Russie visant l’Ukraine, NotPetya s’est propagé à grande échelle en chiffrant les enregistrements de démarrage principal des ordinateurs.

Cependant, malgré l’existence d’une demande de rançon, toute tentative de paiement était inutile. L’objectif de NotPetya était de détruire des fichiers. Aucune clé de décryptage n’était disponible.

Plusieurs organisations de premier plan ont subi des pertes substantielles de l’ordre de 100 millions de dollars.  Des attaques très médiatisées qui ont fait prendre conscience aux groupes de rançongiciels que, plutôt que de cibler des systèmes individuels, ils pouvaient exploiter les vulnérabilités non corrigées et se déplacer latéralement vers d’autres systèmes, qui contenaient peut-être des données de plus grande valeur, causant ainsi plus de dégâts aux victimes et, par conséquent, une plus grande probabilité de paiement de la rançon.

Et aujourd’hui ?

En 2021, les ransomwares constituent un maillon essentiel et très lucratif de l’écosystème de la cybercriminalité. Les ransomwares eux-mêmes utilisent un code beaucoup plus performant et les systèmes de cryptage sont mieux mis en œuvre, ce qui permet de déjouer les tentatives des entreprises de sécurité pour décrypter les données concernées.

Bien que certains groupes de ransomwares spécifiques et bien connus semblent dominer le marché, le modèle du ransomware-as-a-service largement adopté signifie qu’il est pratiquement impossible de savoir qui sont les véritables auteurs d’une attaque.

Les tactiques utilisées par les groupes de ransomwares ont également connu des transformations importantes. L’un des éléments clés de cette évolution est le passage d’une approche dispersée, qui consistait à attaquer des systèmes individuels, à une approche très ciblée, qui consiste à viser des organisations en fonction de la valeur potentiellement élevée de leurs données, ce que l’on appelle les attaques de type « Big Game Hunting ».

C’est le groupe Maze, vers la fin de l’année 2019, qui a apporté la plus grande évolution dans le monde du ransomware. Cette tactique, qui a largement été adoptée par la plupart des groupes depuis, a vu le jour lorsque le groupe Maze a réalisé que, plutôt que de simplement crypter les données et les systèmes, il pouvait se déplacer dans un réseau et exfiltrer toutes les données de valeur avant d’engager le cryptage.

Ce vol de données a ensuite représenté un niveau supplémentaire d’extorsion, puisque les attaquants menaçaient de vendre les données ou de les rendre publiques si la victime refusait de payer la rançon. Cette attaque dite de « double extorsion » suppose que l’attaquant a beaucoup plus de chances d’être payé soit par la rançon elle-même, soit par la vente des données sur les marchés du dark web. Pour une organisation victime, cette tactique introduit plusieurs niveaux de doute. Tout d’abord, cela suppose que les attaquants ont pénétré dans le réseau pendant une période prolongée pour exfiltrer souvent des giga-octets de données volées.

Personne ne peut savoir avec certitude si les attaquants ont introduit des portes dérobées ou ont réussi à voler des informations d’identification leur permettant de se réintroduire dans le système, ni quelles données exactement ont été volées. Le groupe de ransomware Maze a depuis annoncé qu’il cessait ses activités, bien que l’on pense généralement que le groupe Egregor a accueilli une partie de ses membres. Il est désormais courant pour la majorité des groupes de ransomware d’utiliser la double extorsion.

La plupart des groupes les plus connus, tels qu’Egregor, REvil (Sodinokibi), DoppelPaymer et d’autres, entretiennent des sites de leaks (fuite de données), soit sur le dark web, soit sur l’Internet public. Ces sites sont utilisés pour dénoncer les organisations qui ont été attaquées et/ou qui refusent de payer la rançon et contiennent souvent des informations sur les données volées.

Cela met non seulement la pression sur les organisations pour qu’elles paient, mais fait également office d’avis de divulgation, ce qui signifie qu’une organisation victime ne peut pas essayer de dissimuler l’attaque. Elle doit au contraire la traiter comme une violation de données, ce qui l’expose à des contrôles règlementaires tels que le RGPD (Règlement général sur la protection des données), ainsi qu’à toute amende associée qui pourrait en résulter.

Orange Cyberdefense met à la disposition de ses clients une équipe d’expert.e.s pour les accompagner à contenir les incidents de cybersécurité, comme les attaques par ransomware, y remédier et enquêter sur les sources de l’incident. Pour en savoir, cliquez ici.