Le business des ransomwares ne s’est (malheureusement) jamais aussi bien porté et revêt aujourd’hui plusieurs teintes qu’il est difficile d’appréhender. Lors du FIC 2021, l’ANSSI rapportait que les incidents dus à ces logiciels malveillants étaient en hausse de 255% en France. Mais quelles réalités et tendances recouvrent aujourd’hui le phénomène du ransomware ? Quelles nuances différencient les ransomwares ? Toutes les entreprises sont-elles à égalité face à la menace ?
Au cours du FIC 2021, le Pôle Judiciaire de la Gendarmerie Nationale s’était livré à un petit exercice comptable. Il faisait état de 28 familles de ransomwares actifs dans l’Hexagone, quand le FBI en comptait plus de 100 aux États-Unis.
Le Jeu des 28 familles de ransomwares
Certaines familles de ransomware se sont démarquées par leur récurrence au cours des douze derniers mois. Babuk, par exemple, a été utilisé par le groupe de cybercriminels du même nom pour infiltrer plusieurs grandes entreprises en 2021. Atom Silo ou encore BlackMatter sont d’autres exemples et tout récemment nous découvrions Blackbasta, qui serait en réalité un renommage d’un groupe existant. Sans oublier enfin le retour en force de REvil (aussi appelé Sodinokibi) et de Ryuk sur cette année 2021. Le premier, actif depuis 2019, a longtemps été considéré comme l’un des plus difficiles à détecter, et l’un des plus rentables pour les cybercriminels. Son code source est régulièrement mis à jour, afin de contrer les protections cyber. Heureusement, le démantèlement du groupe par les autorités russes semble lui avoir porté un coup d’arrêt.
Globalement, le fonctionnement de base de ces logiciels malveillants reste le même. Car les deux types classiques de ransomwares, les Lockers qui bloquent le fonctionnement d’un ordinateur et les Cryptos qui consistent à chiffrer des données et monnayer une clé de déchiffrement en guise de rançon, n’ont pas fondamentalement évolué. On retrouve donc des outils que l’on observait déjà avant. En revanche, les moyens de pénétrer les postes et systèmes d’informations ont innovés. Mais en quoi ces moyens d’accès, communs aux différentes familles de ransomwares, ont-ils évolué ?
Ransomware Anatomy
Les portes d’entrée par lesquelles un ransomware peut entrer sont malheureusement nombreuses. Sans surprise, le phishing est l’une des principales.
En récupérant directement des identifiants, les cybercriminels prennent ainsi la main sur un accès VPN ou une messagerie. Et il suffit qu’un seul des collaborateurs tombe dans un tel piège pour mettre à mal tout le système d’information de l’entreprise. En effet, les cybercriminels auront rapidement fait fort de se déplacer latéralement jusqu’à mettre la main sur les précieux droits administrateurs de l’annuaire du domaine. Et derrière les profils évidents des dirigeants, tous les collaborateurs d’une entreprise sont en fait des cibles en puissance des cybercriminels.
Mais les portes d’entrée peuvent parfois être plus subtiles, avec une base de social engineering, ou plus directes, avec l’exploitation de vulnérabilités logicielles non corrigées.
Il est donc commun de voir des campagnes de rançonnage débuter lorsqu’une vulnérabilité sur un logiciel largement utilisé est découverte. L’exemple de Microsoft PrintNightmare, ou ProxyLogon, deux vulnérabilités permettant de l’exécution de code à distance sur Windows, en sont l’illustration parfaite. Avec les kits d’exploitation rapidement mis en ligne sur le darkweb, toute organisation n’ayant pas procédé aux mises à jour nécessaires sera une cible facile.
Une équation à deux inconnues, avec X vulnérabilités et Y façons de les exploiter. D’un côté, les « classiques » attaques non-ciblées, spray and pray, sont encore le premier vecteur d’attaque dans le baromètre 2021 du CESIN. Mais elles évoluent : si elles prennent toujours la forme de grandes campagnes d’envois d’e-mails à travers le monde en misant sur une approche statistique, elles sont désormais beaucoup plus travaillées que ce qu’on pouvait observer il y a quelques années.
On est loin du mail de phishing standard avec des fautes presque à chaque mot. La qualité est supérieure : on trouve par exemple des factures réalistes avec une mise en contexte, adressée à des comptables comme s’il s’agissait du mail d’un client. Depuis 2021, des cybercriminels réutilisent même les historiques d’e-mails volés, en relançant des conversations avec sujets et contenus d’anciens échanges. Sans oublier d’ajouter un fichier contaminé, bien sûr.
En parallèle, les petites et moyennes entreprises sont doublement scrutées par les cybercriminels. D’un côté, elles sont des cibles à part entière, car particulièrement sensibles à des interruptions d’activité. Et d’un autre, elles servent encore aujourd’hui de relais pour attaquer leurs partenaires commerciaux les plus importants, c’est ce qu’on appelle l’attaque à la « Supply chain ».
Face aux ransomwares, personne n’est à l’abri. Et pour convaincre une entreprise infectée de payer la rançon, tous les moyens sont bons.
DDoS et divulgation de données : des moyens de pression complémentaires
Si la doctrine officielle est de ne pas payer les rançons, les cybercriminels ne sont évidemment pas de cet avis. Et pour faire pencher la balance de leur côté, ils vont imaginer et mettre en place des moyens de pression complémentaires. En 2018, des données patients d’une vingtaine de centres finlandais de psychothérapie sont dérobés. Mais devant le refus de la société, victime de payer la rançon pour les récupérer, les cybercriminels vont alors se tourner vers… les patients eux-mêmes, en les menaçant de rendre ces données publiques. C’est une nouvelle tendance de menace de divulgation de données. Un moyen de pression supplémentaire au chiffrement, voir alternatif désormais, pour forcer les entreprises (et particuliers) à payer les rançons. Et la menace peut également devenir une menace de chiffrement. Un nouveau procédé innovant où les cybercriminels vont demander une rançon… pour ne pas chiffrer les données. C’est ici la récompense sans l’effort que cherchent les cybercriminels, en s’appuyant uniquement sur la peur qu’ils instillent à leurs cibles. Rien ne dit qu’ils seront en mesure de mettre leur menace à exécution, mais prendriez-vous le risque ?
Par ailleurs, les groupes de cybercriminels ont poursuivi leur professionnalisation en 2021, y compris dans leurs moyens financiers. On parle de plusieurs dizaines voire centaines de millions d’euros de puissance de feu pour certains groupes. Ce qui occasionne une autre tendance : celle d’opérer simultanément deux types d’attaques, un ransomware couplée à une attaque de type DDoS. En rendant les sites indisponibles, les cybercriminels augmentent la pression afin de pousser les entreprises à payer. Ce principe de double extorsion aurait ainsi rapporté plus de 45 millions de dollars aux groupes de cybercriminels en 2021, Conti en tête, suivi de REvil et DarkSide.
L’ère du ransomware est donc loin d’être terminée. Et elle n’épargne personne. De la TPE au grand groupe international, c’est l’ensemble du tissu économique mondial qui peut être visé. Selon l’assureur spécialisé Cybercover : près de 60% des victimes de cyberattaques sont des petites et moyennes entreprises. Et le dernier rapport sur la gestion des cyber-risques de Hiscox, indique que le coût médian d’une cyberattaque représente environ 9 000 euros pour les entreprises de 50 à 250 employés en 2020, avec cependant d’importantes disparités, certaines ayant essuyé des pertes dépassant les 280 000 euros. Une cause de faillite pour beaucoup dès que le coût devient trop élevé.
Pour se protéger, il existe heureusement des solutions. Une entreprise qui a conscience de l’enjeu et fait des efforts de sécurité de façon structurée avec une démarche d’amélioration continue va décourager les attaquants, qui se reporteront sur d’autres cibles…
___________________
Par Sébastien Viou, Directeur Cybersécurité Produit chez Stormshield.
À lire également :
Les PME sont les premières cibles des attaques ransomwares.
Aller au-delà du Zero Trust pour lutter contre les ransomwares et les fuites de données…
Les 7 principaux risques cyber de 2022 selon Gartner
Forrester 2022 : des prédictions plutôt encourageantes, mais pas pour tou(t)s
Cybersécurité : 10 prévisions pour 2022