Depuis le début de l’année 2020, les attaques par ransomware se multiplient et font la Une des journaux. Tous les professionnels, grandes entreprises comme petites structures, semblent vulnérables face à une menace qui évolue. Et le nombre de cas impactés avec plus ou moins de réussite pour les attaquants devient inquiétant. Plongée en eaux troubles avec le principal phénomène de cyber-criminalité de 2020.
« La criminalité organisée s’est emparée de l’outil cyber pour rançonner ses victimes », constatait Guillaume Poupard, Directeur général de l’ANSSI, devant les sénateurs français au mois de novembre. En effet, que ce soit en France, en Europe ou à travers le monde, les ransomwares n’en finissent plus de sévir. De la compagnie d’assurance du Sultanat d’Oman SAOG au groupe de spiritueux italien Campari, en passant par Bouygues Construction et la cour de justice brésilienne, personne ne semble y échapper. De plus, la tendance est à la professionnalisation du ransomware, avec un véritable écosystème économique entre créateurs des malwares et opérateurs de ceux-ci. Un business à part entière avec niveau de partenariat et remises... Cette année 2020 a confirmé la montée en puissance de la menace des ransomwares, avec des attaques de mieux en mieux préparées et organisées, utilisant plus de technicité. Une tendance de fond qui incite les entreprises à réviser leurs parades de défense et à renforcer leur pouvoir de contre-attaque.
Moyens de chiffrement, propagation… Quelles évolutions pour les ransomwares ?
Depuis aussi longtemps que les ransomwares existent, leur objectif est resté inchangé : exiger une rançon. Même constat d’un point de vue de la technique, puisque peu de choses ont évoluées. En effet, le mode opératoire de ce malware reste foncièrement le même : parcourir un disque, rechercher des fichiers selon leurs extensions et chiffrer ce qui peut avoir le plus d’impact sur l’activité de la cible. Les parties chiffrées dépendront de la stratégie des cyber-criminels ; avoir accès à l’ordinateur sans pouvoir avoir accès au fichier sera parfois pire que d’avoir un ordinateur qui ne démarre plus. Pour cette raison, les cyber-criminels font attention de ne chiffrer que certaines extensions. En revanche, force est de constater que les ransomwares évoluent en matière de propagation et d’infection.
Les opérateurs des ransomwares suivent les actualités des dernières vulnérabilités au sein des systèmes informatiques pour outrepasser les protections
Thomas Gendron, Malware Research Engineer Vade Secure
L’extorsion de fonds en tant que telle a aussi nettement évolué depuis ses débuts. Les demandes de rançon par PayPal n’ont plus la faveur des attaquants, car trop traçables, et la plupart des cyber-criminels exigent le paiement des rançons par bitcoins. Un moyen de paiement qui apparaît comme plus stable pour les opérateurs de ransomware, ainsi que plus complexe pour suivre la rançon à travers les plateformes de mixage (Smartmixer, BitcoinMix…). Début 2020, le FBI indiquait d’ailleurs qu’entre 2013 et 2019, les extorsions de fonds liées aux ransomwares aux États-Unis auraient représenté pas moins de 144,35 millions de dollars en bitcoins.
En matière de propagation, « les opérateurs des ransomwares suivent les actualités des dernières vulnérabilités au sein des systèmes informatiques pour outrepasser les protections », expose Thomas Gendron, Malware Research Engineer chez Vade Secure. Depuis le milieu d’année 2019, plusieurs VPN ont été exposés à plusieurs vulnérabilités majeures, qui ont tapé dans l’œil de plusieurs groupes de cyber-criminels pour lancer des vagues de ransomwares.
Si l’email et son fichier infecté restent populaires, d’autres formes d’infection ont été constatées ces derniers mois. Fuites de mots de passe utilisé sur les VPN, failles VPN, diffusion par botnet… les opérateurs de ransomware semblent disposer aujourd’hui d’un arsenal conséquent pour réaliser la propagation du ransomware. Une fois l’infection réussie, les cyber-criminels vont tenter de latéraliser leur attaque et faire détonner la charge du ransomware sur un maximum de postes ou machines. Exemple récent avec la faille Zerologon, massivement exploitée par des opérateurs du ransomware Ryuk. Grâce à cette faille, l’opérateur peut atteindre rapidement l’Active Directory en tant qu’administrateur, avant de latéraliser son attaque au sein du parc informatique et de récupérer l’accès à des comptes à privilèges. Infection, latéralisation, élévation de privilèges : il ne restera plus alors au cyber-criminel à opérer son « action on objective ».
Entre attaques opportunistes et ciblées
La première grande tendance à retenir en matière de ransomwares tient forcément au contexte sanitaire extraordinaire. Alors que d'habitude les campagnes de phishing se révèlent peu élaborées, les experts ont noté un effort des cyber-criminels dans l'approche par social engineering. Autour de l'actualité anxiogène sanitaire et économique, les leviers pour jouer sur des craintes étaient tout trouvés comme de fausses commandes de masques ou des fausses lettres de licenciement... « Les entreprises ont fortement investi en matière de protection de leurs périmètres, avec des outils de protection des postes, une configuration sécurité du SI, etc., explique Adrien Gendre, Chief Solution Architect chez Vade Secure. Les opérateurs de ransomwares cherchent donc des moyens de contourner cela et d’accéder à l’intérieur des entreprises. Le phishing est le moyen de compromettre des boites aux lettres et ainsi envoyer le ransomware ou même un spear phishing de l’intérieur de l’entreprise ».
Et les méthodes pour pousser à payer les rançons se diversifient également. En octobre 2020, un groupe de cyber-criminels a ainsi publié sur le dark web une partie des données de santé qu’ils avaient volé à une société finlandaise à la tête de centres de psychothérapie… en 2018 ! Devant le refus de l’entreprise de santé de payer la rançon, les cyber-criminels s’étaient tournés vers les familles de patients, avant de décider de revendre au plus offrant les précieuses données… Autre exemple en date avec des attaquants qui auraient investi le réseau social Facebook, avec de fausses publicités malveillantes imaginées pour forcer un groupe de spiritueux italien à payer une rançon.
Mais ces attaques ressemblent davantage à des attaques opportunistes. Et ne doivent pas faire oublier la principale tendance de l'année 2020 : la professionnalisation autour des ransomwares.
Des ransomwares qui se professionnalisent
Apparu en 2016, la tendance du ransomware-as-a-service, ou RaaS, se confirme donc en 2020. « Il est dorénavant possible de payer pour acheter des ransomwares, voire des tutoriels pour apprendre à les utiliser, informe Edouard Simpère, Responsable Cyber Threat Intelligencechez Stormshield. Tout cela est vendu comme un service, à l’image des ventes de malware comme des outils tous prêts que l’on peut trouver depuis longtemps sur le dark web ». Les logiciels de rançon ou d’extorsion se vendent sur le dark ou le deep web et deviennent des produits à part entière, avec les règles du marché qui s’appliquent (concurrence, etc.). Ainsi, certains acteurs du cyber-crime se sont structurés en se spécialisant chacun dans une tâche. Mais ce n’est pas tout : « En se professionnalisant, les attaquants ont chacun développé leur spécialité : développeur de ransomware, spécialiste du phishing, opérateur pour déposer la charge… », spécifie Thomas Gendron. Formant un écosystème complexe, plus dynamique et plus performant, ces cyber-criminels évitent aussi des interruptions dans leurs opérations importantes en cas d’arrestation d’un maillon de la chaîne.
Il est dorénavant possible de payer pour acheter des ransomwares, les utiliser à l’aide de tutoriels, les lancer depuis une interface, etc. Tout cela est vendu comme un service
Edouard Simpère, Responsable Cyber Threat Intelligence
Cette professionnalisation des attaquants vient compléter la montée en puissance des attaques ciblées à destination de grandes entreprises ou organisations. « La tendance actuellement des attaques ransomware montrent une amélioration des moyens d’infections utilisées. L’utilisation d’outils pour délivrer le ransomware au meilleur endroit se rapproche de la technicité de certains groupes APT ou FIN et montre une intelligence opérationnelle plus pointue qu’auparavant », explique Grégory Baudeau, Technical Leader Cyber Threat Intelligence chez Airbus CyberSecurity. Aux côtés de Frédéric Boissel, chercheur associé, et Quentin Michaud, analyste, Grégory Baudeau a récemment fourni la modélisation d’une opération délivrant une charge Sodinokibi (aussi appelé REvil ou Sodin) rencontrée lors d’une réponse sur incident. Ce RaaS, disponible depuis avril 2019, a ciblé une multitude de secteurs comme l’énergie, la finance, le bâtiment, le biomédical, l’aéronautique, ou encore le secteur des télécommunications. L’une des spécificités de ce ransomware est aussi de publier les données exfiltrées sur des forums du dark web, voire de les mettre aux enchères. C’est ce qui s’est passé en juin dernier aux États-Unis : le groupe derrière Sodinokibi aurait mis aux enchères 50 Go et 1,2 To de données appartenant à deux cabinets d’avocats américains. Ainsi, au vol de données et à l’extorsion de fonds s’ajoutent de nouveaux moyens pour les cyber-criminels de tirer profit de leurs attaques.
Enfin, à l’heure où les objets connectés font partie de notre quotidien et de celui des entreprises, il faut questionner la surface d’attaque de celles-ci. Que ce soit le cas de cyberattaques avérées contre des caisses enregistreuses des supermarchés ou des imprimantes, ou encore des Proof of Concept menées contre des machines à café intelligentes, la surface s’élargit avec des éléments disposant d’un faible niveau de sécurité. « Cette surface d’attaque laisse des portes d’entrée accessibles, les attaquants font du repérage et attendent le bon moment, la bonne cible, le bon endroit pour déployer leurs ransomwares. C’est le début de la pelote de laine », analyse Edouard Simpere.
Le milieu du ransomware se professionnalise et les attaques se veulent toujours plus sophistiquées et précises. Cela rend leur détection de plus en plus complexe pour les entreprises qui elles, doivent se mettre en ordre de bataille contre cette tendance cyber-criminelle.
Quels comportements adopter face aux ransomwares ?
Est-il devenu acceptable de payer un ransomware ? La réponse est non. Pourtant, la question de payer continue de se poser, notamment pour les infrastructures comme les hôpitaux par exemple. Des infrastructures critiques qui, dès lors qu’elles sont victimes d’un ransomware, se retrouvent dans l’incapacité de mener à bien leurs activités vitales. Car d’un point de vue opérationnel, tenter de contourner un ransomware est complexe et prend du temps ; un luxe que la plupart des structures ne peuvent pas se permettre. De plus, d’un point de vue moral, il ne faut pas oublier qu'un ransomware est un chantage. Le fait de payer indiquera une faiblesse, difficile voire impossible à défendre médiatiquement et éthiquement. Enfin, stratégiquement, il n'y a aucune garantie d'un retour à la normale après un paiement, que ce soit pour la restauration des données ou au niveau d'une backdoor laissée par l'attaquant. « Payer un ransomware, c’est alimenter un business, et dans le principe, ça ne doit jamais être acceptable. Il faut donc mettre en place des alternatives pour ne pas en arriver là », alerte Adrien Gendre. Aux États-Unis par exemple, le Trésor américain tente de mettre un terme au paiement des rançons par les entreprises, en infligeant des pénalités civiles aux sociétés tierces (comme les cyber assurances, les entreprises de cybersécurité, etc.) qui aideraient les structures ciblées à s’acquitter de leur rançon. L’objectif à atteindre pour les organisations est de réussir à se mettre dans une posture leur permettant de ne jamais avoir à prendre la décision de payer ou non une rançon.
Dans le même temps, les éditeurs et acteurs cyber se positionnent aussi face à l’augmentation de la surface d’attaque et à la propagation des ransomwares, en développant des solutions cyber adaptées, permettant d’accompagner les structures. La prise de conscience semble donc en marche, pour se prémunir au mieux contre ce type de malwares.
Plusieurs dispositifs sont possibles pour lutter contre les attaques délivrant des ransomwares, comme la formation des collaborateurs à l’hygiène numérique, la mise en place d’une bonne politique de patch management, l’adoption d’une politique de gestion des droits et des autorisations rigoureuses (forcer le changement des mots de passe tous les 90 jours pour les comptes à privilèges, disposer d’une authentification à double facteur, etc.). « Une manière de se prémunir des ransomwares actuellement est d’avoir un niveau de protection et une hygiène suffisamment importante pour dissuader les opérateurs d’infections, complète Grégory Baudeau. Il est important d’avoir un niveau de formation des collaborateurs suffisant sur le phishing, une surveillance des événements de sécurité sur les VPN, les AD et les équipements ayant eu des failles critiques permettant l’accès aux réseaux ou aux équipements centrales de l’entreprise lors de six à neuf derniers mois. Il est également important que les équipes de sécurité se forment à la détection de comportements suspects. Toutes les entreprises ou organisations devraient avoir des équipes de réponse à incident. Ainsi qu’une capacité de coupure des services et une autre de restauration pour réagir rapidement à une intrusion, éviter si possible que la charge soit délivrée et pouvoir restaurer les services dans les plus brefs délais. ».
Au-delà de ces moyens disponibles, il existe un prérequis pour se défendre efficacement contre les ransomwares : le backup. Chaque structure, chaque entreprise – même les plus petites – doit mettre en place une politique de backup, et tous les systèmes des organisations devraient être dotés de solutions de ce type. Le backup est la pierre angulaire d’une politique anti ransomwares efficace, et cela passe notamment par la mise en place de systèmes de sauvegardes non connectées qui ne pourront pas se faire chiffrer le cas échéant, ou encore par des procédures de contrôles réguliers des backups. En avril 2019, l’entreprise Fleury Michon a été victime d’un ransomware, mettant à l’arrêt son activité de production durant trois jours. Mais l’entreprise avait pu assez rapidement les relancer grâce à ses systèmes de backup qui lui ont permis de récupérer les données nécessaires à la reprise de l’activité et ainsi de ne pas payer la rançon exigée. Fleury Michon a d’ailleurs participé au guide Attaques par rançongiciels, tous concernés, publié cette année par l’ANSSI, et qui a vocation à accompagner les collectivités et les entreprises dans leur compréhension de la problématique des ransomwares et des actions à initier pour s’en protéger.
Les ransomwares ont encore de beaux jours devant eux, mais les entreprises n’ont pas dit leur dernier mot et pourraient bien continuer de renforcer leur posture de défense et de décliner le plus possible les demandes de rançons. Si tel est le cas, les cyber-criminels auront peut-être à cœur, d’ici quelques années, de se tourner vers de nouvelles activités plus lucratives ?