Par Philippe Alcoy, spécialiste sécurité chez NETSCOUT
À l’instar de tout entrepreneur avisé, les cybercriminels ont conscience que le succès de leur entreprise dépend de la valeur de leur dernière innovation. Et lorsqu’il s’agit de dérober l’argent des organisations non sécurisées, les innovations ne faiblissent jamais.
La triple extorsion – le nouveau ‘tiercé gagnant’ du ransomware qui combine le chiffrement de fichiers, le vol de données et les attaques DDoS, dans un portefeuille de Ransomware-as-a-Service (RaaS) – est de plus en plus plébiscité par les cybercriminels.
- Chiffrement. Dans le cadre de la méthode traditionnelle d’attaque par ransomware, les cybercriminels pénètrent dans un réseau et chiffrent des données précieuses, empêchant ainsi l’organisation victime (et parfois l’ensemble du système) d’accéder à ces données. Les attaquants demandent ensuite le paiement d’une rançon en échange d’une clé de déchiffrement.
- Vol. Les cybercriminels exfiltrent les données avant de neutraliser la victime. Ils menacent ensuite d’exposer et/ou de vendre publiquement les données dérobées à moins de recevoir une contrepartie. Dans ce deuxième niveau d’extorsion, il est plus difficile pour les victimes de faire fi des menaces de ransomware, car même celles qui ont la possibilité d’utiliser des sauvegardes pour restaurer leurs données demeurent vulnérables à l’exposition de ces dernières. Il s’agit clairement d’un outil de monétisation profitable, puisque Coveware estime que près de la moitié des cas de ransomware au troisième trimestre 2020 ont recouru à des tactiques d’exfiltration.
- Attaque DDoS. Habituellement utilisées comme méthode d’extorsion autonome, les attaques DDoS s’ajoutent désormais à la liste des services proposés par les opérateurs RaaS. Cette situation accentue la pression exercée sur la victime, et ce, de plusieurs façons : elle met en évidence le sérieux de l’adversaire. Le maintien de la disponibilité constitue également un facteur de stress supplémentaire pour une équipe de sécurité déjà confrontée aux deux premiers événements.
En combinant le chiffrement de fichiers, le vol de données et les attaques DDoS, les cybercriminels ont pour ainsi dire obtenu le tiercé gagnant du ransomware, lequel est conçu pour augmenter les chances de recevoir un paiement. Selon Bleeping Computer, SunCrypt et Ragnor Locker ont été les premiers à recourir à cette tactique. Depuis lors, d’autres opérateurs de ransomware les ont rejoints, notamment Avaddon et Darkside, l’auteur de l’incident de Colonial Pipeline.
Du point de vue des cybercriminels, l’ajout d’attaques DDoS à la liste des services de ransomware représente une démarche opérationnelle avisée. Les attaques DDoS sont extrêmement peu coûteuses et faciles à lancer, risquant ainsi d’augmenter les chances de voir une victime payer la rançon. Pourquoi ne pas en profiter ? Après tout, il s’agit d’une activité très lucrative et les acteurs malveillants ajoutent constamment de nouvelles armes à leurs campagnes d’attaque multiformes. Certains opérateurs ajoutent même un service de centre d’assistance pour aider les victimes à déchiffrer les données.
En fin de compte, la multiplication des moyens de pression augmente la probabilité de recevoir le paiement d’une rançon, si bien que les ransomwares constituent une forme de cybercriminalité de plus en plus déstabilisante qui touche non seulement les entreprises, mais aussi les gouvernements, les écoles et les infrastructures publiques.
La nature de ces attaques à plusieurs volets démontre la persistance d’acteurs malveillants lorsqu’ils voient une opportunité d’extorquer de l’argent. De plus, la menace d’une attaque ne disparaît pas simplement si les organisations ciblées choisissent de payer la rançon immédiatement. Dans notre monde de plus en plus digitalisé, où la taille, la fréquence et la complexité des attaques ne cessent d’augmenter, il est essentiel que les défenseurs et les professionnels de la sécurité se tiennent au courant des tendances des cyberattaques et continuent à se renseigner sur la manière de protéger les infrastructures critiques.
Des mesures sont prises pour faire face à la crise, comme la Ransomware Task Force (RTF) créée par l’Institute for Security and Technology. Composée d’une large coalition d’experts de la securité, du gouvernement, des services répressifs, de la société civile et des organisations internationales, la RTF a récemment publié des recommandations clés pour combattre ce que le groupe qualifie de risque sécuritaire urgent. Bien que cela soit un bon début, un effort mondial de grande ampleur reste toutefois nécessaire pour mettre un frein à l’activité des ransomwares. Les agences de sécurité du monde entier, telles que l’ANSSI en France, s’activent et ont formulé des recommandations pour permettre de se prémunir contre ces attaques localement.
En attendant, les entreprises peuvent recourir à quelques bonnes pratiques aussi simples que fondamentales pour éviter ces attaques. Elles peuvent tout d’abord inculquer aux employés les bases d’une bonne hygiène de cybersécurité et leur apprendre à utiliser les outils de protection des réseaux et des terminaux mis à leur disposition par les équipes IT. Il sera alors plus facile de détecter les logiciels malveillants, les activités inhabituelles ou encore les indicateurs de compromission. En outre, encourager les équipes à sauvegarder les données importantes, tester les plans de restauration des données, effectuer des évaluations de la vulnérabilité, appliquer des correctifs et mettre à jour les systèmes informatiques en conséquence sont un ensemble de mesures qui permettront d’éviter de manière proactive et efficace toute compromission.
Face aux attaques DDoS qui ne cessent de gagner en ampleur, en fréquence et en complexité, les entreprises doivent s’attendre à tout moment à subir une attaque pour ne jamais être prises de court. Les déploiements d’outils combinés à une visibilité complète des réseaux et des infrastructures sur site et dans le cloud permettront aux équipes de garder une longueur d’avance sur les cybercriminels et de déjouer toutes les facettes d’une triple attaque d’extorsion.