Vous pensiez tout savoir sur les ransomwares ? Détrompez-vous ! Voici 5 fausses idées sur l’ennemi public n°1 de l’univers de la cybersécurité…
Les rançongiciels sont très différents aujourd’hui de ce qu’ils étaient il y a encore cinq ans. Leur fonctionnement repose sur l’économie ou le travail « à la tâche ».
Ce modèle commercial, à l’origine de la transformation de secteurs comme l’hébergement et les transports, influence également le secteur de la cybercriminalité. J’ai choisi d’aborder ici les cinq mythes et idées fausses les plus répandues à propos des ransomwares.
Mythe # 1 : Le rançongiciel est une menace bien comprise et maitrisée ?
L’actuel RaaS fonctionne sur le partage des bénéfices, où l’affilié contacte l’opérateur et lui présente une opportunité avec différents détails sur une victime : le nom, la taille, l’industrie, etc. L’opérateur du ransomware fournit alors une clé de chiffrement unique et d’autres informations comme l’identifiant de la victime ou de la campagne d’attaque. L’affilié va s’occuper du repérage, de l’approche latérale et du déploiement du ransomware sur tous les terminaux. En gros, il lance l’attaque. Il laisse ensuite la place à l’opérateur qui s’occupe de communiquer, négocier avec la victime et de percevoir la rançon, lequel reverse un pourcentage à l’affilié. C’est un système de partage des bénéfices similaire à celui observé chez Airbnb ou Uber. Les affiliés sont les chauffeurs et les loueurs de biens, les victimes, les passagers et les touristes. L’affilié reste indépendant et peut travailler avec de nombreux opérateurs ou groupes différents.
Pour travailler avec les affiliés les plus talentueux, certains opérateurs sont prêts à verser entre 70 et 90 % du montant de la rançon. Ce système propose un modèle commercial inversé où les opérateurs font l’objet de toute l’attention des médias et sont sous le feu des critiques, alors qu’en fait les affiliés touchent la majeure partie des bénéfices. Le groupe CONTI, aujourd’hui dispersé dans d’autres groupes, était souvent cité comme l’auteur d’un grand nombre d’attaques, alors que des affiliés indépendants travaillaient avec ce groupe, dans l’ombre et gagnaient davantage d’argent. Les parties prenantes impliquées dans cet écosystème sont très nombreuses : on y trouve des développeurs, des vendeurs de code, de modules et d’outils, des courtiers en accès initial, des négociateurs professionnels, des gestionnaires de données, des experts en cryptographie, et bien d’autres encore.
Mythe # 2 : les attaques de ransomware sont opportunistes et exécutées quasi immédiatement après l’infection initiale.
Les opérateurs de ransomware, au lieu d’augmenter le pourcentage qu’ils perçoivent de la rançon (10 à 20 %), tentent d’augmenter le montant total de la rançon pour percevoir des revenus plus importants.
A l’origine lancées automatiquement, quelques minutes après l’infection, elles peuvent aujourd’hui prendre des semaines, voire des mois, car les affiliés et les opérateurs vont dédier du temps à maximiser la rançon qu’ils peuvent demander.
En fait, plus que la technologie elle-même, c’est plutôt le business qui l’entoure qui change et s’améliore. Les grands groupes et noms célèbres que nous voyons émerger dans les médias ne sont plus des techniciens mais des gestionnaires, qui ont le sens des affaires. Ceux qui réussissent vraiment sont ceux qui comprennent comment les entreprises, et donc leurs victimes, fonctionnent.
Si à l’origine, les ransomwares visaient à “simplement” empêcher l’accès à des données, aujourd’hui, il s’agit plutôt de tentatives de violation de la confidentialité en vue d’une extorsion double, triple, voire quadruple. Par exemple, pour définir une rançon, l’opérateur va chercher des informations précises sur sa victime et l’entreprise visée : les sources de revenus, les avoirs et solvabilité réelle ou encore le montant maximal des amendes liées au RGPD que l’entreprise devra payer en cas de violation des données. Ils peuvent aussi examiner si l’entreprise a souscrit une cyber assurance et repérer le niveau de risque couvert. Nulle doute que cela puisse « détruire » très rapidement une petite entreprise, qui doit à la fois faire face à l’arrêt de ses activités, à l’injonction de payer la rançon et à la perte de confiance de ses partenaires commerciaux.
Cette évolution vers la violation de la confidentialité entraîne la création de groupes de ransomware qui n’utilisent même plus le déploiement de ransomware. Ils ne volent que les données et rien d’autre.
Mythe # 3 : les groupes de ransomware ne s’attaquent qu’aux gros poissons
Une tendance observée plus récemment, similaire à celles des escroqueries liées aux crypto-monnaies : pour passer sous les radars, des groupes de ransomware majeurs se détournent des grandes entreprises et des infrastructures critiques pour se concentrer sur des victimes de plus petite taille. Plus les affiliés attaquent de grandes entreprises, plus les risques d’être repérés et arrêtés sont grands, d’où l’intérêt de se déporter vers des cibles plus petites.
La valeur des données d’une entreprise n’a pas besoin d’être très importante. Ce qui importe pour les cybercriminels, c’est le réseau de contacts qu’ils peuvent atteindre au travers de leur première cible.
Après l’infection initiale, les cybercriminels passent au piratage manuel et évaluent la valeur de la cible pour maximiser leurs gains, mais aussi augmenter la portée de leur attaque : taille de l’entreprise, types de données en présence, écosystème d’affaires et partenaires. Ils peuvent ainsi passer de l’intrusion dans le réseau d’un petit sous-traitant à une organisation beaucoup plus grande.
Mythe # 4 : la lutte contre les groupes de ransomware en tant que services est vaine car ce phénomène semble imparable.
Dans le cas des ransomwares, comme souvent, il suffit de briser la confiance entre les opérateurs et les affiliés. Démanteler un seul groupe peut aider à démanteler tout un système comme l’Opération GoldDust qui a visé le groupe de ransomware REvil début 2022.
L’usage d’un logiciel déchiffreur peut aussi permettre de récupérer un accès à ses données sans avoir à payer de rançon. Imaginez qu’un affilié, après des mois passés à travailler sur une victime potentielle, à pénétrer dans un réseau, à s’y installer et observer, à lancer avec succès l’attaque, puis à chiffrer tous les systèmes… se voit refuser le paiement parce que quelqu’un a proposé un outil de déchiffrement efficace… Il risque fort de se tourner vers l’opérateur dont le logiciel n’a pas fonctionné. Imaginez les conflits qui sont apparus entre affiliés et opérateurs lors de rançons non payées. Qui est responsable ? Qui va payer pour le travail accompli ?
Mythe numéro 5 : il est préférable de se concentrer sur les nouvelles menaces ou les menaces inconnues
Comme pour beaucoup d’autres choses en matière de cybersécurité, les stratégies de sécurité fondamentales qui existent depuis longtemps sont toujours efficaces. Vous ne devez pas construire vos défenses uniquement contre ce qui est le plus récent. Vous devez paramétrer votre environnement de manière à le rendre plus résilient. Il doit être capable de résister aux anciennes attaques, aux nouvelles et à tout ce qui va arriver dans le futur.
Déployez des défenses en profondeur, assurez-vous que vous utilisez une protection multicouche, mettez en œuvre l’authentification multifactorielle partout. Et un point vraiment important, surtout lorsque nous parlons de ces groupes RaaS : assurez-vous que vous avez des capacités de détection et de réponse. Que vous les ayez en interne, que vous les utilisiez en tant que produit ou service, cela n’a pas d’importance. Assurez-vous simplement que vous disposez de capacités de détection et de réponse, car c’est sur l’absence de ces capacités que s’appuient les cybercriminels.
Les cybercriminels génèrent beaucoup de « bruit » à toutes les étapes d’une attaque y compris depuis l’accès initial et laissent beaucoup d’indices derrière eux. Ils comptent donc simplement sur le fait que personne ne les observe.
___________________
Par Stéphane Brovadan – responsable équipe avant-vente France – Bitdefender France
puis