Les ransomwares ont évolué d’attaques aléatoires à des campagnes sophistiquées, orchestrées par des cybercriminels exploitant des vulnérabilités zero-day pour maximiser leurs profits. Ces attaques ciblent désormais des secteurs critiques avec des techniques d’extorsion diversifiées, tout en profitant de Ransomware-as-a-Service (RaaS) pour amplifier leur impact.
Les ransomwares constituent l’une des plus grandes menaces pour la sécurité d’une entreprise. Au départ, les attaques étaient menées par des entités isolées qui développaient et distribuaient un grand nombre de charges malveillantes automatiquement sur des victimes choisies de manière aléatoire et collectaient de petites sommes à chaque attaque « réussie ».
Aujourd’hui, ces attaques évoluent, elles s’industrialisent tout en étant supervisées par des entités malveillantes mobilisées durant plusieurs semaines.
Le terme ransomware, tel qu’il est utilisé́ aujourd’hui, ne se réfère pas seulement au chiffrement des données. Il est utilisé pour qualifier les cyberattaques où un protagoniste, motivé par des intérêts financiers, parvient à contrôler les actifs d’une victime et exerce des pressions pour lui extorquer de l’argent.
Les attaquants ont perfectionné leurs stratégies, mis à profit les vulnérabilités zero-day et enrichi le Ransomware-as-a-Service (RaaS) de nouvelles tactiques d’extorsion. Les cibles de premier plan sont de plus en plus souvent dans la ligne de mire, d’où la nécessité de mettre en place des mécanismes de défense robustes. Les ransomwares continuent de susciter une inquiétude majeure. En effet, les cybercriminels ne sont pas uniquement motivés par l’appât du gain, mais par un désir de notoriété.
Les vulnérabilités zero-day
Les exploits de type zero-day sont très prisés et font l’objet d’un marché en pleine expansion. En 2023, plusieurs grandes attaques de ransomware ont exploité des vulnérabilités de type zero-day. Le gain financier d’une attaque de ransomware contre plusieurs victimes justifie-il le coût de l’exploit zero-day nécessaire pour la réaliser ?
Au cours de l’année écoulée, une augmentation marquée des cyberattaques par ransomware de grande envergure qui ont touché de très nombreuses victimes a été constatée. Certains de ces incidents ont eu un impact sur des centaines, voire des milliers d’entreprises. Par exemple, le groupe RaaS CL0P a exploité une vulnérabilité zero-day de GoAnywhere, un outil de transfert de fichiers sécurisé. Plus de 130 entreprises ont ainsi été touchées.
En 2023, CL0P a exploité une vulnérabilité zero-day et a ainsi pu accéder au logiciel de transfert de fichiers MOVEit. Cette attaque a provoqué la compromission de plus de 2 600 entreprises. CL0P avait déjà mené une attaque similaire en 2021 en exploitant des vulnérabilités de type zero-day dans le logiciel File Transfer Appliance d’Accellion, pour accéder aux bases de données de plusieurs clients. Toutes ces attaques ont été soigneusement sélectionnées en fonction du grand nombre de clients, de la qualité des données et de la possibilité de faire des victimes supplémentaires.
CL0P a notamment choisi de ne pas chiffrer les données des victimes, mais a menacé de les exposer ou de les vendre. Ce type d’extorsion peut avoir des graves conséquences, même pour les victimes qui effectuent régulièrement des sauvegardes et ont recours à des procédures pour restaurer leurs données. Elle réduit également les risques d’être détectée pendant la phase de chiffrement « bruyante » d’une attaque et évite aux cybercriminels d’avoir à gérer les clés de déchiffrement et les responsabilités de « service client » associées au déchiffrement de plusieurs fichiers.
Le prix de ces exploits zero-day dépend du système ciblé et de la nature des vulnérabilités. Il peut aller de quelques milliers de dollars à 2,5 millions de dollars (sur les plateformes mobiles). Les tarifs affichés publiquement sur des plateformes officielles comme Zerodium reflètent ce qui se passe sur les marchés clandestins de la cybercriminalité. La crédibilité des vendeurs sur ces marchés dépend de la réputation qu’ils ont acquise lors de transactions antérieures et des fonds déposés en garantie. Pour avoir un ordre de prix, il est possible d’acheter des vulnérabilités Windows LPE sur Zerodium pour un montant de 80 000 dollars.
Les vulnérabilités zero-day ont une durée de vie limitée. Plus elles sont exploitées, plus les chances qu’elles soient détectées et qu’elles fassent l’objet de correctifs sont élevées. Contrairement à l’ajout de fonctionnalités aux malwares, tout investissement dans une vulnérabilité de type zero-day, qu’il s’agisse de son achat ou de son développement, implique un coût récurrent qui doit être financé pour chaque campagne. Ce coût doit donc être couvert par les revenus générés par une attaque qui a une durée de vie relativement courte.
Pour que l’exploitation zero-day devienne une pratique courante, il faut que le rendement direct de chaque attaque en vaille le coup. Selon certaines estimations, CL0P pourrait gagner entre 75 et 100 millions de dollars rien qu’avec l’attaque MOVEit. Estimer précisément le montant des rançons versées peut être difficile, mais il est raisonnable de supposer que, dans certains cas au moins, les rançons dépassent de loin le coût de l’exploitation d’une vulnérabilité zero-day. D’autres groupes qui cherchent à générer des bénéfices comme DarkCasino, ont profité de la vulnérabilité WinRAR (CVE-2023-38831) pour escroquer des commerçants en ligne. Zerodium propose un prix de 80 000 dollars pour l’exploitation d’un RCE WinRAR.
Après l’attaque MOVEit, les attaques par ransomware ont continué à exploiter des vulnérabilités de type zero-day. On a vu des acteurs de la menace associés à CL0P exploiter une telle vulnérabilité dans le logiciel d’assistance informatique SysAid. Plus de 5 000 clients pourraient ainsi être touchés par celle-ci.
Les shame sites
Les attaques par ransomware, qui exploitent les failles zero-day et utilisent des « shame sites » pour exposer publiquement leurs victimes, sont devenues monnaie courante. Cette tendance a transformé le ransomware en une sorte de compétition entre cybercriminels. Les répercussions de ces attaques vont bien au-delà du simple versement de la rançon : des entreprises ont dû supporter des coûts considérables pour rétablir leurs systèmes.
En 2023, les données extraites de près de 200 « shame sites » de ransomwares ont été exploitées par des groupes pratiquant la double extorsion. 68 d’entre eux ont affiché les noms et les informations de victimes depuis 2023. Les cybercriminels ont recours à ces sites pour faire pression sur les victimes qui ne paient pas tout de suite la rançon. Les données fournies par ces sites de la honte sont biaisées, mais fournissent néanmoins des informations précieuses sur l’écosystème des ransomwares.
En 2023, 68 groupes de ransomwares actifs ont déclaré avoir pénétré dans les systèmes de plus de 5 000 victimes et les avoir extorquées publiquement. Ce chiffre est en nette augmentation par rapport aux années précédentes. Les événements liés aux ransomwares se sont intensifiés au cours de l’année 2023. Au second semestre, plus de 2 800 victimes ont été recensées, contre 2 200 au cours du premier semestre. Lockbit s’est révélé être le plus actif au cours de cette période, avec 21 % des incidents signalés, soit plus de 1 050 cas. En règle générale, les auteurs de menaces accordent aux victimes un délai d’une à deux semaines pour répondre à leur demande de rançon. Dans la mesure où les victimes qui s’en acquittent ne sont pas exposées publiquement, il est fort probable que le nombre réel de victimes soit beaucoup plus élevé.
ALPHV, également connu sous le nom de BlackCat, a ciblé plus de 440 victimes en 2023 et a été au centre d’une opération des forces de l’ordre. En décembre, une opération menée par les États-Unis a permis de démanteler les sites internet du groupe et de diffuser un outil de déchiffrement.
Selon la CISA, l’Agence de cybersécurité et de sécurité des infrastructures, aux Etas-Unis, depuis le début de ses opérations, le groupe a fait plus de 1 000 victimes et a reçu des rançons dont le montant total s’élève à près de 300 millions de dollars. Le groupe a depuis repris ses activités criminelles sur le Dark Web.
Par ailleurs, 45 % des entreprises touchées sont situées aux États-Unis, suivies du Royaume-Uni (7 %) et du Canada, de l’Allemagne et de l’Italie (4 % respectivement). Aussi, des cyberattaques lancées contre des entités russes restent relativement rares. MalasLocker, actif au cours de la première partie de l’année 2023, a quant à lui opté pour une approche peu conventionnelle. Les demandes traditionnelles de ransomware ont laissé place à des demandes de dons pour des œuvres de charité.
Les domaines les plus ciblés
Certains secteurs d’activité sont plus touchés que d’autres. En effet, ce sont surtout les secteurs de l’éducation, de l’administration et de la santé et financiers qui sont visés. Cependant, le paysage des victimes de ransomware suggère autre chose. Les secteurs de la production et de la vente au détail enregistrent le plus grand nombre de victimes, tandis que les entités gouvernementales et éducatives occupent une place moins importante dans la hiérarchie des cibles. Rien qu’en décembre 2023, des groupes de ransomware à double extorsion ont revendiqué́ des attaques par ransomware à l’encontre de grandes entreprises telles que Coca-Cola Singapour (DragonForce), Nissan Motor Australia (Akira), Kraft Heinz (Snatch) et Xerox (Inc ransom).
Ce décalage peut s’expliquer par le fait que les secteurs de l’éducation et du gouvernement sont moins enclins à payer des rançons comparé aux secteurs de la production et de la vente au détail. Ces secteurs sont surtout visés pour leurs données, et notamment pour leurs informations personnelles et techniques, pas pour des attaques avec extorsion de fonds en tant que telles.
En résumé, identifier les vulnérabilités et comprendre les méthodes des acteurs de la menace sont autant d’éléments clés pour élaborer des programmes de cybersécurité efficaces et durables pour permettre aux organisations de garder une longueur d’avance sur leurs cyberadversaires. Face à l’essor des ransomwares zero-day et à une époque où la technologie évolue à un rythme effréné, il est urgent que les entreprises adaptent leurs pratiques de sécurité et adoptent de nouvelles mesures de protection.
____________________________
Par Eddy Sifflet, responsable avant-vente channel de Check Point Software France
Pour en savoir plus : 2024 Cyber Security Report