Plus ciblées, plus élaborées, mêlant verrouillage des fichiers au vol de données pour accentuer les leviers de chantage, les attaques par ransomwares sont devenues la grande crainte de tous les responsables informatiques. Un nouveau rapport Kaspersky Lab dévoile les nouvelles méthodes des cybercriminels qui les mènent.
Ennemi public numéro 1 des entreprises, les ransomwares sont un véritable fléau. Entreprises de toutes tailles, organismes publics, hôpitaux, ESN spécialisées dans la sécurité… aucune structure ne semble pouvoir y échapper. Et les gangs qui pilotent ces attaques multiplient les stratégies pour mieux percer les défenses imaginées par les acteurs de la cybersécurité et les RSSI.
Dans un nouveau rapport, les chercheurs de Kaspersky Lab alertent les responsables de la sécurité sur de nouvelles techniques et stratégies employées par ces gangs. Et certaines sont pour le moins surprenantes ! Elles démontrent à quel point les ransomwares sont devenues une véritable industrie cybercriminelle avec ses services et son marketing, versions « côté obscur ».
Ce rapport se base sur une étude des pratiques du groupe DarkSide qui a mis en ligne un véritable service en ligne d’attaques par ransomware, DarkSide Leaks.
1/ S’appuyer sur les médias
Le site propose une section « Presse » destinée aux journalistes d’investigation. Il publie des informations sur les victimes et alerte la presse sur les prochaines fuites de données et divulgations. Objectif : exploiter les médias pour se faire connaître mais aussi pour intensifier la pression sur les entreprises victimes en focalisant le regard du public et donc des clients.
2/ Collaborer avec les entreprises de chiffrement.
Certaines entreprises victimes n’ont pas les compétences techniques nécessaires pour récupérer leurs données, même une fois la rançon payée. D’où l’idée des cybercriminels de proposer les services d’experts du déchiffrement d’ESN légitime. Après tout, les organismes publics ne peuvent pas entamer de collaboration directe avec des organisations cybercriminelles. Des prestataires privés externes tout à fait légitimes peuvent en revanche se permettre une telle « collaboration ».
3/ Se donner une bonne image par des dons caritatifs !
Les extorqueurs promettent qu’une partie de la somme extorquée sera reversée aux associations caritatives. DarkSide publie ainsi une liste de dons réalisés. Une façon de donner « meilleure conscience » à des victimes contraintes de payer une rançon pour reprendre la main sur leur patrimoine informationnel et redémarrer leur activité mais qui enragent d’ainsi financer la cybercriminalité. Seul bémol à cette stratégie, les organisations caritatives ne peuvent percevoir de financement illicite et doivent geler de tels versements. Donc au final, tout l’argent reste entre les mains des cybercriminels.
4/ Pratiquer la data-science pour accentuer la pression
Les récentes attaques par ransomwares ne se contentent plus de verrouiller les données de l’entreprise mais débutent par une exfiltration des informations. Ce qui permet aux cybercriminels de menacer l’entreprise de divulguer les données volées si elle refuse de payer la rançon réclamée. Mais les cybercriminels ne se contentent pas de voler les données. Ils les analysent pour mieux identifier clients, partenaires et concurrents afin de maximiser la pression sur l’entreprise victime.
5/ Afficher un code moral
Officiellement, le gang Darkside affiche une déclaration de principes éthiques affirmant ne jamais s’attaquer à des entreprises de santé, des services funéraires ou des ONG. Les attaques récentes contre les hôpitaux français montrent que bien des groupes de cyberattaquants n’ont pas une telle éthique ou ne respectent pas leurs déclarations de bonnes intentions.
En outre, dans certains cas, les cyberattaquants n’ont parfois qu’une très vague idée de leurs victimes et de leurs activités. Les ransomwares ont alors engendré des dégâts majeurs sur le fonctionnement de l’entreprise avant que les cybercriminels n’aient réellement compris ce que faisaient leurs victimes.
« Nous avons assisté à une transformation massive dans la façon dont les gangs de ransomware se comportent. La seule raison de ce changement est l’immense profit qu’ils ont accumulé » constate Roman Dedenok, expert en sécurité chez Kaspersky.
« Aujourd’hui, les cybercriminels disposent de plus de fonds que jamais, qu’ils peuvent investir dans l’analyse du marché, et dans la collaboration avec des partenaires, des journalistes et des organisations caritatives. Pour les vaincre, nous devons couper leurs flux financiers, et donc cesser de payer les rançons » affirme-t-il, paraphrasant Eugène Kaspersky qui rappelait récemment que « si personne ne cède à leur chantage, les cyber-extorqueurs disparaîtront au fur et à mesure, et le monde ne s’en portera que mieux ».
Pour cela, encore faut-il que les entreprises ne se retrouvent pas dans une situation où payer est sa seule alternative pour redémarrer. Même si, dans la plupart des cas, « payer la rançon » est souvent économiquement moins cher que le coût des efforts nécessaires pour retrouver une situation à peu près normale. Et c’est bien là le coeur du débat « payer ou pas… ».
Bref, les entreprises doivent d’abord encore améliorer leur cyber-résilience en tenant vraiment compte de la menace que constituent les ransomwares et en mettant en œuvre les bonnes parades (oui, elles existent).