La diversité des familles de ransomwares, des modes d’intrusion ou des cibles touchées rend la sécurisation des systèmes toujours plus complexe. Retour sur les enseignements de l’année 2021.
Le business des ransomwares ne s’est (malheureusement) jamais aussi bien porté. Lors du FIC 2021, Jean-Thierry Calvet, responsable des opérations de cyberdéfense à l’ANSSI, rapportait que les incidents dus à ces logiciels malveillants étaient en hausse de 255% en France. Au niveau mondial, les attaques de ransomwares ont doublé en 2021, et 37% des organisations interrogées par l’International Data Corporation déclaraient avoir été victimes d’une attaque de ce type au cours de l’année. Mais quelles réalités et tendances recouvrent aujourd’hui le phénomène du ransomware ? Toutes les entreprises sont-elles à égalité face à la menace ?
Ransomware et jeu des 7 familles
Toujours au cours du FIC 2021, le capitaine Paul-Alexandre Gillot, du Pôle Judiciaire de la Gendarmerie Nationale, s’était livré à un petit exercice comptable. Il faisait état de 28 familles de ransomwares actifs dans l’Hexagone, quand le FBI en compte plus de 100 aux États-Unis.
Certaines familles de ransomware se sont démarquées par leur récurrence au cours des douze derniers mois. Babuk, par exemple, a été utilisé par le groupe de cyber-criminels du même nom pour infiltrer plusieurs grandes entreprises en 2021. Et la fuite du logiciel développé par le groupe a également participé à sa popularité, puisque d’autres cyber-criminels peu expérimentés ont pu reprendre le ransomware à leur compte. Atom Silo ou encore BlackMatter sont d’autres exemples. Les opérateurs de ce dernier ransomware, découvert fin juillet, ont sévi durant environ trois mois, le temps d’attaquer des entreprises dans le monde entier. Edouard Simpère, Responsable Cyber Threat Intelligence chez Stormshield, souligne enfin le retour en force de REvil (aussi appelé Sodinokibi) et de Ryuk sur cette année 2021. Le premier, actif depuis 2019, a longtemps été considéré comme l’un des plus difficiles à détecter, et l’un des plus rentables pour les cyber-criminels. Son code source est régulièrement mis à jour, afin de contrer les protections cyber. Heureusement, le démantèlement du groupe par les autorités russes semble lui avoir porté un coup d’arrêt.
Mais globalement, Edouard Simpère constate que le fonctionnement de base de ces logiciels malveillants reste le même. Car les deux types classiques de ransomwares, les Lockers qui bloquent le fonctionnement d’un ordinateur et les Cryptos qui consistent à chiffrer des données et monnayer une clé de déchiffrement en guise de rançon, n’ont pas fondamentalement évolué. « On retrouve donc des outils que l’on observait déjà avant, résume-t-il. En revanche, les moyens de pénétrer les postes et systèmes d’informations peuvent changer ». Mais en quoi ces moyens d’accès, communs aux différentes familles de ransomwares, ont-ils évolué ?
Portes d’entrée, diffusion, cibles : anatomie du ransomware
Les portes d’entrée par lesquelles un ransomware peut entrer sont (malheureusement) diverses, comme l’expose ce schéma établi par gouvernement néozélandais. Pas de surprise, le phishing est une des principales portes d’entrée. En récupérant directement des identifiants, les cyber-criminels prennent ainsi la main sur un accès VPN ou une messagerie. Et il suffit qu’un seul de vos collaborateurs tombe dans un tel piège pour mettre à mal tout le système d’information de l’entreprise. En effet, les cyber-criminels auront rapidement fait de se déplacer latéralement jusqu’à mettre la main sur les précieux droits administrateurs de l’annuaire du domaine. Et derrière les profils évidents des dirigeants, tous les collaborateurs d’une entreprise sont en fait des cibles en puissance des cyber-criminels.
Mais les portes d’entrée sont parfois plus retorses, avec du social engineering, ou plus directes, avec l’exploitation de vulnérabilités logicielles non corrigées ou des e-mails piégés. Autour de ce vecteur e-mail, les portes d’entrées des ransomwares se mélangent alors avec leurs méthodes de diffusion. Comme dans l’exemple de Ryuk, où un simple clic dans un e-mail va déclencher un premier élément, l’injecteur, qui va lancer le téléchargement du logiciel malveillant lui-même. Un exemple parmi d’autres, tant « ces portes d’entrées reposent sur l’exploitation de vulnérabilités dont l’usage peut varier », précise Edouard Simpère. Une équation à deux inconnues, avec X vulnérabilités et Y façons de les exploiter. Et depuis quelques années, les méthodes de diffusion des ransomwares se sont diversifiées. D’un côté, les « classiques » attaques non-ciblées, spray and pray, sont encore le premier vecteur d’attaque dans le baromètre 2021 du CESIN. Mais elles évoluent : si elles prennent toujours la forme de grandes campagnes d’envois d’e-mails à travers le monde en misant sur une approche statistique, elles sont désormais beaucoup plus travaillées que ce qu’on pouvait observer il y a quelques années. « On est loin du mail Amazon avec des fautes presque à chaque mot, précise Édouard Simpere. La qualité est supérieure : on trouve par exemple des factures réalistes avec une mise en contexte, adressée à des comptables comme s’il s’agissait du mail d’un client ». Depuis 2021, des cyber-criminels réutilisent même les historiques d’e-mails volés, en relançant des conversations avec sujets et contenus d’anciens échanges. Sans oublier d’ajouter un fichier contaminé, bien sûr. Et d’un autre côté, certains cyber-criminels optent pour une stratégie beaucoup plus ciblée. Ils décident ainsi de viser des entreprises spécifiques, à l’image de cette campagne détectée en mars 2022 par une autre entreprise de cybersécurité et qualifiée de « cyberattaque chirurgicale » par L’Expansion.
On est loin du mail Amazon avec des fautes presque à chaque mot. La qualité est supérieure : on trouve par exemple des factures réalistes avec une mise en contexte, adressée à des comptables comme s’il s’agissait du mail d’un client.
Edouard Simpère, Responsable Cyber Threat Intelligence Stormshield
En parallèle, les petites et moyennes entreprises sont doublement scrutées par les cyber-criminels. D’un côté, elles sont des cibles à part entière, car particulièrement sensibles à des interruptions d’activité. Et d’un autre, elles servent encore aujourd’hui de relais pour attaquer leurs partenaires commerciaux plus importants. Car face aux ransomwares, personne n’est à l’abri. Et pour convaincre une entreprise infectée de payer la rançon, tous les moyens sont bons…
DDoS et divulgation de données, moyens de pression complémentaires au ransomware
Car si la doctrine officielle est ne pas payer les rançons, les cyber-criminels ne sont évidemment pas de cet avis. Et pour faire pencher la balance de leur côté, ils vont imaginer et mettre en place des moyens de pression complémentaires. En 2018, des données patients d’une vingtaine de centres finlandais de psychothérapie sont dérobés. Mais devant le refus de la société victime de payer la rançon pour les récupérer, les cyber-criminels vont alors se tourner vers… les patients eux-mêmes, en les menaçant de rendre ces données publiques. C’est le début de la tendance de la menace de divulgation de données. Un moyen de pression supplémentaire au chiffrement, voir alternatif désormais, pour forcer les entreprises (et particuliers) à payer les rançons. « Les cyber-criminels ont remarqué que certaines cibles résistent bien aux ransomwares, explique Renaud Feil, CEO et cofondateur de Synacktiv, entreprise spécialisée dans les audits de sécurité. Elles ont mis en place des backups efficaces. Il fallait donc trouver autre chose. » Concrètement, cela se traduit par le ciblage d’entreprises pour lesquelles les enjeux de réputation et de confidentialité sont importants, comme des cabinets d’avocats ou cabinets comptables. Et la menace peut également devenir une menace de chiffrer. Un nouveau procédé innovant où les cyber-criminels vont demander une rançon… pour ne pas chiffrer les données. C’est ici la récompense sans l’effort que cherchent les cybercriminels, en s’appuyant uniquement sur la peur qu’ils distillent à leurs cibles. Rien ne dit qu’ils seront en mesure de mettre leur menace à exécution, mais prendriez-vous le risque ?
En parallèle, comme le note Edouard Simpère, les groupes de cyber-criminels ont poursuivi leur professionnalisation en 2021, y compris dans les modes de pression utilisés : « Leurs moyens financiers sont aujourd’hui tels qu’ils peuvent se permettre le développement de nouvelles méthodologies. On parle de plusieurs dizaines voire centaines de millions d’euros de puissance de feu pour certains groupes ». Ce qui occasionne une autre tendance : celle d’opérer simultanément deux types d’attaques, un ransomware suivi d’une attaque type DDoS. En rendant les sites indisponibles, les cyber-criminels augmentent la pression pour pousser les entreprises à payer. Ce principe de double extorsion aurait ainsi rapporté plus de 45 millions de dollars aux groupes de cyber-criminels en 2021, Conti en tête, suivi de REvil et DarkSide.
L’ère du ransomware est donc loin d’être terminée. Et elle n’épargne personne. De la TPE au grand groupe international, c’est l’ensemble du tissu économique mondial qui peut être visé. Selon l’assureur spécialisé Cybercover, ce sont néanmoins les PME qui courent le plus de risques : près de 60% des victimes de cyberattaques sont des petites et moyennes entreprises. Pour se protéger, il existe heureusement des solutions. Et l’écosystème de la cybersécurité s’organise lui aussi. « Aujourd’hui, on observe quand même qu’il y a plein de sociétés qui n’ont pas connu d’incident majeur, malgré des tentatives, souligne à ce propos Renaud Feil. Une entreprise qui fait des efforts de sécurité de façon systématique et rigoureuse va décourager les attaquants, qui se reporteront sur d’autres cibles… Tout l’enjeu, c’est donc de solidifier son système, quelle que soit la taille de l’entreprise. »