L’attaque contre l’hôpital pour enfants de Toronto par le groupe LockBit a souligné les dilemmes éthiques des cyberattaquants. Comprendre les objectifs et les comportements des cybercriminels est crucial pour élaborer des stratégies de défense efficaces face à l’évolution constante des attaques ransomware.
Considérés à l’heure actuelle comme l’une des plus grandes menaces en matière de cybersécurité, les attaques ransomwares s’intensifient au fil des années capitalisant sur des méthodes de plus en plus agressives comme l’abus de vulnérabilités zero-day pour exploiter des failles non corrigées ainsi que de multiples stratagèmes d’extorsion. Il est même possible d’être infecté en naviguant simplement sur un site web anodin ! Pour rappel, une attaque ransomware allie chiffrement et exaction de données en échange de rançons sollicitées auprès des victimes pour ne pas exposer les données dérobées. De plus en plus, les systèmes de sauvegarde et de reprise après sinistre sont ciblés pour complexifier les tentatives de remédiation des entreprises et inciter au paiement.
Dans la tête du cybercriminel
Un enjeu important auquel les équipes de sécurité doivent désormais faire face est la compréhension de l’objectif, du comportement et de l’état d’esprit du pirate à l’origine de ces attaques ransomwares. Lorsque les objectifs divergent, sont souvent sans corrélation, ou si leurs limites en matière de moralité ou d’éthique sont différentes, les stratégies et tactiques employées peuvent drastiquement varier, ce qui complexifie tout autant l’anticipation et la défense à mettre en place.
Un exemple marquant est l’attaque qui a ciblé l’hôpital pour enfants de Toronto, conduite par une branche affiliée au groupe cybercriminel LockBit et qui a opéré via un Ransomware-as-a-Service. Les hackers ont infiltré le système informatique de l’hôpital injectant un ransomware qui a crypté les fichiers et les données de l’établissement et demandé une rançon en échange de la clé. Cet incident a mis en exergue les dilemmes éthiques posés par le ciblage d’établissements de santé où les données et les services essentiels à la vie des patients sont mis en danger. Fait remarquable, les pirates du groupe LockBit ont finalement publié les clés de chiffrement correspondantes – en les accompagnant d’un mot d’excuses pour les actes de leur affilié – un geste surprenant qui a entrainé un débat sur les motivations et les responsabilités morales des cybercriminels. Oui, il est possible de se faire virer d’une organisation criminelle en frappant les mauvaises cibles ou tout au moins en ne respectant pas les lignes de conduite intrinsèques !
Les stratégies de cybersécurité doivent donc s’adapter en miroir pour intégrer cette fameuse compréhension de la psychologie et des objectifs des pirates au même niveau que l’arsenal mis en place. Non seulement pour contrer la sophistication constante des techniques et vecteurs d’attaques mais aussi pour se mettre dans la peau du cybercriminel en y intégrant les aspects psychologiques et stratégiques originels. Une approche donc qui doit être tout aussi agile que les menaces à neutraliser.
L’évolution des outils avec l’IA
De nouvelles armes et outils IA, tels que WormGPT, le clone maléfique de ChatGPT, sont potentiellement utilisables à des fins criminelles notamment pour des attaques sophistiquées de type phishing ou d’usurpation d’identité en entreprise. En capitalisant sur le grand modèle de langage GPT-J, WormGPT est une plateforme confidentielle offrant un nombre illimité de caractères, différents modèles d’IA, du formatage de code et plus encore. Dans l’état actuel des choses, le principal « argument de vente » de ce service à 300 $ semble être sa nature « illimitée ». Sans restriction pour empêcher les gens d’abuser de la technologie, comme l’a fait ChatGPT, l’outil offre en effet une myriade d’options criminelles. Cependant, il n’y a pas que les outils du Dark web au catalogue des pirates en 2024. Il a été démontré que des applications « considérées comme sûres » telles que ChatGPT peuvent être amenées à produire du code malveillant si les requêtes sont faites de manière adéquate. En tant que facilitateurs, ces outils d’IA ouvrent donc grande la porte du monde de la cybercriminalité. Face à la prévalence croissante des ransomwares à double extorsion, qui associent chiffrement et menace de publication, incitant les organisations à la fois à restaurer l’accès aux fichiers et à prévenir les fuites de données dans l’urgence, on assiste à une escalade significative des attaques ransomware dans le paysage des menaces actuel.
Les cyber assurances ne suffisent pas
A mesure de l’intensification des menaces, les assureurs ont augmenté le prix des polices et renforcé les exigences en matière de paiement, qui sont devenues de plus en plus difficiles à respecter. De plus, la cyber assurance englobe uniquement l’impact financier de l’attaque sans intégrer la perte de réputation ou les temps d’arrêt de la production.
Dans la mesure du possible, les entreprises doivent adopter des stratégies de détection des ransomwares à l’endroit même où les données sont générées avec une analyse avancée des flux de données entrantes, la détection des anomalies et des techniques pour retracer l’origine, la méthode et la nature précise de l’attaque. Cette stratégie proactive va permettre d’atténuer les risques avant qu’ils ne dégénèrent en crise globale. Cependant, la détection n’est qu’une pièce du puzzle. Il existe toujours un maillon faible dans la chaine d’infection où les ransomware peuvent être annihilés. Il est donc essentiel que la pile de sécurité soit la plus complète possible en veillant à ce qu’aucun composant, en particulier les systèmes de sauvegarde et de restauration, ne devienne obsolète pour maintenir une défense robuste. Cette approche doit inclure également des mises à jour régulières afin de combler les vulnérabilités potentiellement exploitables ainsi que des points de contrôle de récupération précis qui vont permettre la reprise rapide des données à leur état initial avant l’attaque.
___________________
Par Siham Eisele, Regional Sales Director, Zerto, une société de Hewlett Packard Enterprise
puis