Le cyberespace est devenu un nouveau terrain d’entente aussi improbable que dangereux : celui de la collaboration entre États et cybercriminels. Dans le contexte des crises géopolitiques actuelles, des cyber-espions d’États coopèrent de plus en plus avec des groupes créant des ransomwares pour causer des dommages aux réseaux d’entreprises occidentales. L’impact sur ces organisations, et donc sur l’économie, sert les intérêts de ces pays. La distinction entre motivations étatiques et financières s’estompe, tout comme la différence entre leurs compétences et leurs équipements.
Le groupe de recherche Unit 42 de Palo Alto publiait il y a quelques mois un rapport révélant l’implication du groupe de cybercriminels Jumpy Pisces dans une campagne de ransomware utilisant de nouvelles tactiques. Ce groupe semble agir comme un « Initial Access Broker » (IAB), obtenant un accès initial aux réseaux des victimes pour ensuite le partager avec le groupe Play, motivé par des gains financiers.
Selon Unit 42, Jumpy Pisces est sponsorisé par l’État nord-coréen et lié au Bureau Général de Renseignement de l’Armée Populaire de Corée du Nord. Également connu sous les noms d’Andariel et Onyx Sleet, ce groupe a déjà été impliqué dans des activités de cyber-espionnage, de cybercriminalité financière et d’attaques par ransomware. Il a d’ailleurs été inculpé par le Département de la Justice américain pour l’utilisation du ransomware Maui, développé sur mesure.
Il s’agit du deuxième cas majeur de coopération entre acteurs étatiques et cybercriminels en peu de temps. En août dernier, la CISA (Cybersecurity and Infrastructure Security Agency) américaine avertissait déjà dans un communiqué que des acteurs iraniens proches du gouvernement ciblaient des organisations occidentales, notamment américaines, en tentant de pénétrer leurs réseaux. Le FBI a confirmé les liens de ces groupes avec le gouvernement iranien. Une fois l’accès initial obtenu, ces acteurs le transmettent à des groupes de ransomware qui se chargent des étapes finales de l’attaque, causant des dommages aux entreprises ciblées. Le principe étant : ce qui est mauvais pour l’Occident est bon pour l’Iran.
La France n’est pas épargnée par cette menace grandissante. Un rapport de Mandiant, publié en juillet 2024, met en lumière les activités du groupe de hackers, qui a ciblé des infrastructures critiques dans huit pays, dont la France. Des secteurs clés comme la chimie, la défense, l’énergie, les transports et les télécoms ont été visés. Mandiant soupçonne APT45 d’être lié au Reconnaissance General Bureau (RGB), le service de renseignement d’élite nord-coréen, et souligne sa capacité à déployer des ransomwares comme ShatteredGlass et Maui, ce dernier ayant notamment ciblé des établissements de santé.
Convergence des compétences
Le cyber-risque pour les entreprises occidentales s’est également accru pour une autre raison. Jusqu’à présent, les cybercriminels étatiques étaient considérés comme l’élite du domaine, bénéficiant d’une formation de haut niveau, d’un financement important et d’une organisation structurée en équipes. Leur spécialité : la découverte et l’exploitation de vulnérabilités zero-day de manière ciblée et prolongée.
Cependant, les profits importants générés par le ransomware ont rééquilibré les forces en présence et leur ont permis de se professionnaliser et d’investir en leurs capacités. D’après Chainalysis, l’activité du ransomware aurait généré environ 1 milliard de dollars en 2023.
Les acteurs du ransomware ont évolué en termes d’organisation et ont adopté un modèle « as-a-service ». Des individus sans grande expertise technique peuvent désormais se lancer via des plateformes de Ransomware-as-a-Service (RaaS), proposant de véritables kits d’attaque prêts à l’emploi. Ces plateformes sont financées par le partage des profits, généralement 80% pour l’affilié et 20% pour le propriétaire de la plateforme RaaS.
Ces sommes ont permis aux fournisseurs de plateformes RaaS de passer de simples techniques d’ingénierie sociale pour l’accès initial à des méthodes plus sophistiquées : rétro-ingénierie des correctifs de sécurité pour les percer en quelques jours, ou encore l’utilisation automatisée d’identifiants volés lors d’autres attaques. Nombre de ces plateformes intègrent également des fonctionnalités d’évasion, rendant les contrôles de sécurité des terminaux inefficaces. En conséquence, les équipements et les capacités des acteurs étatiques et privés se rapprochent, rendant la coopération entre eux plus tangible : ils se retrouvent désormais sur un pied d’égalité en termes de moyens et d’organisation.
Pour les entreprises, cela signifie une chose : la probabilité d’être victime d’une attaque réussie a encore augmenté. Il est donc crucial de se concentrer sur la résilience face aux attaques plutôt que de prétendre pouvoir toutes les prévenir. Les processus de restauration des données et les capacités d’investigation d’une attaque en cours sont devenus essentiels. Cela inclut les mécanismes de détection résistant à l’évasion, les capacités de réponse aux incidents permettant une investigation et une remédiation rapides des menaces, et la restauration des processus métier ainsi que de l’infrastructure avec un impact minimal.
____________________________
Par Daniel de Prezzo, Directeur Technique Europe du Sud, Benelux et Pays Scandinaves, Cohesity
puis