Avons-nous atteint le pic des ransomwares ? Comment le plus gros problème de sécurité de l’internet a pris de l’ampleur, et ce qui va se passer ensuite
Les rançongiciels sont devenus un problème si important que même les dirigeants des superpuissances mondiales discutent désormais de ces attaques lors de sommets très médiatisés.
Ces cyberattaques – qui consistent pour les criminels à chiffrer des réseaux et à exiger des paiements pouvant atteindre des millions d’euros en échange de la clé de déchiffrement – ont été l’un des principaux points de discussion lors de la première rencontre en tête-à-tête du président américain Joe Biden et du président russe Vladimir Poutine. Pourquoi est-ce un sujet d’actualité qui dépasse le cadre de l’informatique ?
Tout d’abord, des cybercriminels utilisant le ransomware DarkSide ont piraté le réseau de Colonial Pipeline, entraînant l’arrêt des services – perturbant l’approvisionnement en essence d’une grande partie du nord-est des États-Unis – et obligeant la société à payer une rançon de près de 5 millions de dollars en bitcoins. Quelques semaines plus tard, des criminels utilisant le ransomware REvil ont attaqué le transformateur de viande JBS, qui a payé une rançon de 11 millions de dollars en bitcoins.
Déclaration commune au G7
Comme de nombreux groupes de ransomware, DarkSide et REevil seraient l’œuvre de cybercriminels opérant depuis la Russie. Le consensus parmi les chercheurs en cybersécurité est que le Kremlin ferme les yeux sur ces activités. C’est pourquoi le président Biden a directement abordé la question des ransomwares lors de sa rencontre avec le président Poutine.
“Je l’ai regardé et lui ai demandé : “Comment vous sentiriez-vous si un ransomware s’attaquait aux pipelines de vos champs pétrolifères ?” Il a répondu : “Ce serait un sujet”. Je lui ai fait remarquer que nous avons d’importantes capacités cybernétiques. Et il le sait”, a déclaré M. Biden aux journalistes.
L’avertissement de M. Biden à M. Poutine est intervenu après le sommet du G7 à Cornwall, en Angleterre, où les dirigeants du Canada, de la France, de l’Allemagne, de l’Italie, du Japon, du Royaume-Uni et des États-Unis ont publié une déclaration commune sur les rançongiciels, convenant qu’une action internationale est nécessaire pour lutter contre ce problème.
“C’est un modèle commercial efficace. Cela fonctionne parce que les gens paient”
Les rançongiciels sont un problème depuis des années, mais les attaques sont devenues de plus en plus perturbatrices et dommageables pour les victimes, tandis que les cybercriminels tirent de plus en plus d’argent des campagnes. Il y a quelques années, les rançons se chiffraient en centaines de d’euros. Aujourd’hui, les cyber-escrocs exigent des millions, voire des dizaines de millions d’euros de rançons.
Et les groupes de rançongiciels peuvent continuer à exiger d’énormes sommes en bitcoins et autres crypto-monnaies parce que les victimes paient les rançons.
“C’est un modèle commercial efficace car, du point de vue des criminels, cela fonctionne parce que les gens paient. Les attaques se multiplient en conséquence, car le succès est au rendez-vous”, explique Eleanor Fairford, directrice adjointe de la gestion des incidents au Centre national de cybersécurité des Etats-Unis (NCSC).
Les rançongiciels constituent le moyen le plus simple et le plus efficace de gagner de l’argent à partir d’un réseau compromis
Pour les cybercriminels, les rançongiciels constituent le moyen le plus simple et le plus efficace de gagner de l’argent à partir d’un réseau compromis.
Un intrus au sein d’un réseau d’entreprise peut passer des mois à voler des informations sensibles, puis s’efforcer de trouver un moyen d’en tirer profit. Il peut aussi utiliser ce temps et ces efforts pour se déplacer sur le réseau et jeter les bases d’une attaque par ransomware – et repartir avec des millions d’euros.
Les opérations de ransomware les mieux organisées vont même choisir les organisations qu’elles considèrent comme potentiellement les plus lucratives ou les plus susceptibles de payer une rançon et concentrer leurs efforts sur celles-ci afin de maximiser les profits.
Plus gros danger pour les industries
“Si quelqu’un veut compromettre votre entreprise pour 40 millions de dollars, votre sécurité est-elle suffisamment efficace pour empêcher quelqu’un de vous soutirer 40 millions de dollars ? C’est une question à laquelle il est très difficile de répondre”, déclare John Hultquist, vice-président chargé de l’analyse chez Mandiant Threat Intelligence.
“Le prix des rançons a grimpé en flèche et il sera encore plus difficile que jamais pour les organisations de se sécuriser contre un acteur, qui peut s’offrir des capacités avancées pour obtenir un accès.”
C’est en raison de cette situation que les pirates ciblent les organisations qui exploitent des infrastructures essentielles, des usines et d’autres services critiques dont le fonctionnement dépend de la disponibilité. Il est possible qu’une entreprise tertiaire touchée par un ransomware prenne le temps de restaurer le réseau sans payer de rançon, même si cela perturbe les services pendant des jours ou des semaines.
Facilité d’attaque
Non seulement les ransomwares sont une activité lucrative, mais c’est souvent par des moyens relativement simples que les cybercriminels accèdent aux réseaux, en exploitant les vulnérabilités courantes de la cybersécurité comme première étape d’une attaque par ransomware.
Il ne s’agit pas de vulnérabilités super sophistiquées de type “zero-day”. Ce sont des choses comme un VPN sans authentification multifactorielle, des choses comme des serveurs Microsoft Exchange non corrigés, des choses comme un port RDP disponible sur Internet, qui sont exploitées pour les ransomwares”, explique Sherrod DeGrippo, directeur principal de la recherche et de la détection des menaces chez Proofpoint.
Malgré les avertissements répétés, il se peut que les organisations ignorent totalement l’existence de ces vulnérabilités ou qu’elles ne disposent pas des procédures nécessaires pour appliquer les correctifs de sécurité appropriés afin de combler les vulnérabilités des RDP et des VPN.
Double effet rançon
Et la pandémie de COVID-19 a exacerbé le problème car les organisations ont beaucoup plus de personnel travaillant à distance qu’auparavant, ce qui rend plus difficile la gestion des mises à jour de sécurité ou la surveillance de comportements potentiellement inhabituels.
Les attaques par ransomware sont déjà suffisamment dommageables et perturbatrices, mais bon nombre des gangs de ransomware les plus efficaces ont ajouté une autre corde à leur arc : la double extorsion.
Non seulement les criminels chiffrent les données et demandent une rançon en échange d’une clé de déchiffrement, mais l’accès qu’ils ont obtenu au réseau leur permet de voler des informations sensibles. Ils ne cherchent pas à les vendre à des entreprises rivales ou à des gouvernements ; ils menacent simplement de les publier si la victime ne paie pas.
Il ne s’agit pas d’une menace en l’air, puisque les gangs de rançongiciels gèrent des sites de fuite dédiés où ils publient les données volées aux organisations qui n’ont pas payé – ce qui pourrait effrayer certaines victimes et les inciter à payer la rançon, bien qu’il n’y ait aucune garantie réelle que les cybercriminels n’exploiteront pas ces données à l’avenir.
Paiements difficiles à retracer
Lorsque les organisations paient la rançon, elles le font en crypto-monnaie, ce qui permet aux cybercriminels de gagner facilement de l’argent grâce aux ransomwares.
Pour les criminels, l’essentiel est de sortir l’argent et, en utilisant des crypto-monnaies comme le bitcoin, ils peuvent le faire d’une manière difficile à tracer et, surtout, en évitant tout compte bancaire ordinaire qui pourrait être utilisé pour les identifier.
“En matière de cybercriminalité, la monétisation devient vraiment compliquée. Cela a toujours été une sorte de goulot d’étranglement : vous pouvez mettre la main sur des numéros de cartes de crédit, mais c’est au moment de les convertir que tout s’arrête”, explique M. Hultquist.
“Les crypto-monnaies ont en quelque sorte permis de contourner ce problème, car elles permettent de déplacer librement cet argent en dehors des systèmes habituels et facilitent la monétisation. Ce n’est pas nécessairement la crypto-monnaie qui alimente ce phénomène, ce sont les gains énormes qui l’alimentent. Les crypto-monnaies ne font que faciliter la monétisation”, ajoute-t-il.
L’angle russe
Et lorsque les attaques de ransomware connaissent un tel succès financier, elles continueront à se produire – surtout si les cybercriminels opèrent depuis des pays où leurs gouvernements ferment les yeux sur leurs activités.
Tout le monde s’accorde à dire que la plupart des gangs de ransomware les plus connus opèrent depuis la Russie et qu’ils sont autorisés à gagner de l’argent grâce aux ransomwares, à condition de concentrer leurs activités sur l’Occident.
“L’État russe et la pègre russe, ce n’est pas la même chose, mais il y a une entente entre eux, et l’entente est que, pour l’État, les Russes peuvent gagner de l’argent d’une manière qui leur convient”, déclare Ciaran Martin, professeur de pratique à la Blavatnik School of Government de l’Université d’Oxford – et ancien directeur du NCSC.
“Vous ne pouvez pas vraiment le faire en Occident, mais vous pouvez le faire en Russie. Pourquoi ? Parce que c’est autorisé”
“Mais les conditions sont les suivantes : laissez les Russes et les intérêts russes tranquilles, et quand nous aurons besoin de vos meilleurs éléments, ils devront venir ; c’est ainsi que le modèle a fonctionné.”
Les cybercriminels tiennent compte de cet avertissement, nombre d’entre eux codant leurs ransomwares avec des instructions d’arrêt si une analyse révèle qu’ils se trouvent sur un système en langue russe.
De plus, l’extradition de citoyens russes est contraire à la constitution russe. Ainsi, même si les autorités occidentales parvenaient à identifier les membres d’une opération de ransomware, il est peu probable qu’elles puissent procéder à des arrestations.
Dans le même temps, un groupe de ransomware aurait peu de chances de réussir longtemps s’il travaillait à partir d’un pays occidental, car les forces de l’ordre interviendraient rapidement.
“Pourquoi n’y a-t-il pas de grandes organisations internationales de ransomware en Occident ? Parce que si vous en créez un à Londres, la National Crime Agency défoncera votre porte en une semaine. “Vous ne pouvez pas vraiment le faire en Occident, mais vous pouvez le faire en Russie. Pourquoi ? Parce que c’est autorisé.”
Il est temps de changer ?
Les rançongiciels sont un problème depuis des années – notamment avec les hôpitaux régulièrement victimes d’attaques au plus fort de la pandémie de coronavirus, mais l’attaque contre Colonial Pipeline a touché une corde sensible.
L’oléoduc qui assure près de la moitié de l’approvisionnement en essence du nord-est des États-Unis a été mis hors service, ce qui n’a échappé à personne : il ne s’agissait pas seulement d’une entreprise incapable de fonctionner sans l’utilisation de certains fichiers, mais d’une infrastructure critique mise hors service par un ransomware.
Il y aura un “avant Colonial Pipeline” et un “après Colonial Pipeline”, c’est une étape importante dans la façon dont l’économie des acteurs de la menace va fonctionner”, explique M. DeGrippo. “Il ne s’agit plus d’une rançon de fichiers, mais d’une rançon de votre capacité opérationnelle. Rançonner la capacité à se procurer des hot-dogs, de la bière et de l’essence, c’est une toute autre paire de manches.”
Même les opérateurs du RaaS DarkSide ont tenté de se distancier de l’attaque Colonial Pipeline
Les États-Unis ont une relation forte avec le pétrole et le gaz et cela a rendu la perturbation causée par l’attaque par ransomware de Colonial Pipeline impossible à ignorer pour l’administration Biden – et cela a commencé par la saisie par le ministère de la Justice de la plupart des bitcoins utilisés pour payer la rançon.
Même les opérateurs du ransomware-as-a-service DarkSide ont tenté de se distancier de l’attaque, affirmant que “notre objectif est de faire de l’argent, et non de créer des problèmes pour la société”. Ils affirment même qu’à l’avenir, ils mettront en place des contrôles supplémentaires sur leurs “partenaires”.
Mais les gangs de ransomware ont peut-être eu les yeux plus gros que le ventre.
Sommes-nous au pic des attaques de ransomware ?
“Ils ne veulent pas d’une telle notoriété, ils veulent être reconnus, ils veulent que les gens paient – mais je ne pense pas qu’ils souhaitent nécessairement que le gouvernement américain soit sur leurs traces – ils sont probablement allés un peu trop loin. Je suis sûr que les autres gangs de ransomware sont assez mécontents d’eux”, déclare M. Hultquist.
La menace que représentent les ransomwares reste élevée, comme en témoigne le fait que le service de santé irlandais continue à subir des perturbations plusieurs semaines après l’attaque par ransomware de Conti, qui a eu lieu quelques jours après celle de Colonial Pipeline, mais on a le sentiment que les événements récents pourraient marquer un tournant.
“Il y a au moins une raison plausible de penser que le mois dernier a été stratégiquement préjudiciable pour les criminels et que l’on peut espérer – notez, s’il vous plaît, le langage très prudent – que nous pourrons un jour considérer cette période comme le pic du ransomware”, dit Martin.
Les gangs de ransomware sont opportunistes, profitez-en
“Maintenant, ce n’est pas encore certain, ce n’est même pas encore probable, mais les gouvernements commencent à voir que cela peut faire de réels dégâts.”
Toutefois, dans l’immédiat, les ransomwares resteront efficaces tant que les organisations seront vulnérables au piratage par des cybercriminels, comme le montre la façon dont les attaques ont continué à causer des perturbations dans le monde entier.
Mais il est possible de renforcer la résilience aux cyberattaques – y compris aux ransomwares – et de faire en sorte qu’il soit beaucoup plus difficile pour les cybercriminels de compromettre le réseau en premier lieu.
Une grande partie de cette résilience peut être développée en veillant à ce que les procédures d’hygiène en matière de cybersécurité, telles que l’installation de correctifs de sécurité en temps opportun, la prévention de l’utilisation de mots de passe simples et l’utilisation d’une authentification multifactorielle, soient appliquées sur l’ensemble du réseau. Les gangs de ransomware étant des opportunistes, en leur rendant les choses plus difficiles, on diminue la probabilité d’une attaque réussie.
Mise à jour régulière des sauvegardes – et leur stockage hors ligne
“Le genre de choses qui sont utiles : avoir une visibilité sur votre réseau pour être en mesure de voir si des activités précurseurs ont lieu, comprendre où se trouvent vos actifs et votre réseau, et avoir correctement cartographié et compris tout cela. Ces bons processus standard permettent de se défendre contre les ransomwares”, explique M. Fairford.
La mise à jour régulière des sauvegardes – et leur stockage hors ligne – constitue également un autre moyen de réduire la gravité des attaques par ransomware, car même si le réseau est chiffré, il est possible de le restaurer sans payer les cybercriminels, ce qui les prive de leur principal moyen de revenu.
Néanmoins, l’augmentation des attaques de double extorsion a ajouté une couche supplémentaire de complexité à cette question, car si l’organisation ne paie pas la rançon, elle est confrontée à la perspective d’une fuite d’informations potentiellement sensibles sur les employés et les clients.
“Avez-vous un plan si vos informations commencent à fuir ?”
“Avez-vous un plan si vos informations commencent à fuir ?”, dit M. Hultquist. “Ces éléments doivent être mis en place maintenant, et non pas lorsque la situation se dégrade”.
Le fait que les États-Unis et d’autres gouvernements parlent de ransomware devrait également agir comme un catalyseur pour toute organisation – qui, pour une raison quelconque, n’avait pas de plans spécifiques pour prévenir ou se protéger contre une attaque de ransomware – de décider de leurs plans maintenant.
En effet, même dans le pire des cas, lorsque le réseau a été chiffré par un ransomware, le fait de disposer d’un plan précis peut aider à gérer l’incident et à le rendre potentiellement moins dommageable.
“Les entreprises doivent s’asseoir avec leurs dirigeants et décider, ‘si nous sommes victimes d’un ransomware, combien sommes-nous prêts à payer, qui au conseil d’administration sera autorisé à négocier cela et quelle sera notre relation, avec les forces de l’ordre lorsque cela se produira ?’. Puis, tous les trimestres, vous réexaminez la situation et vous demandez : “Est-ce toujours notre décision si nous sommes victimes d’une attaque par ransomware, est-ce toujours notre plan d’action ?
“Si vous n’avez pas encore pris la décision sur la façon dont vous allez gérer la situation, cela ne jouera pas en votre faveur”, ajoute-t-elle.
Source : “ZDNet.com”