Ransomware : les autorités craignent que le mal soit là pour durer

Ransomware : les autorités craignent que le mal soit là pour durer

Le ransomware n’a pas fini d’inquiéter les internautes, et il suffit de jeter un œil à l’actualité pour s’en rendre compte : cette semaine, un cabinet d’avocat travaillant avec les victimes du procès Charlie Hebdo a vu ses données diffusées par un groupe de ransomware ayant paralysé son système informatique pendant l’été. On peut également citer la ville d’Annecy, aux prises avec un ransomware pour la deuxième fois après une première attaque en fin d’année 2020. Autant d’affaires qui viennent s’ajouter à la longue liste de victimes de ces logiciels malveillants, dont l’activité est particulièrement en hausse au cours des deux dernières années.

publicité

Le flou, mais une croissance évidente

Face à ce constat, un rapport du ministère de l’Intérieur tente pour la première fois d’évaluer l’évolution des attaques de ransomware visant les institutions et les entreprises. Les chiffres de ce rapport se basent sur les plaintes enregistrées par les services de police et de gendarmerie au cours des dernières années afin de donner un aperçu de la menace, en dépit des zones d’ombres qui subsistent sur le nombre réel de victimes.

 

Ainsi, le ministère de l’Intérieur constate une augmentation de 32 % des affaires impliquant des ransomware sur les années 2019 et 2020, pour un total évalué entre 1580 et 1870 plaintes liées à ce type d’attaques entre 2016 et 2020. Sur la seule année 2020, le ministère de l’Intérieur estime le nombre de plaintes entre 380 et 460. Des chiffres à prendre avec un peu de recul, car les victimes de ce type d’attaque ne portent pas toujours plainte. Le rapport se penche également sur les victimes et constate que les principales entreprises visées par les attaquants sont des entreprises du secteur commercial, transport, hôtellerie et restauration, qui représentent 23 % des victimes enregistrées. Mais cette catégorie d’entreprise représente une plus grande part du tissu économique du pays, et sont donc mécaniquement plus nombreuse dans le décompte des victimes. A contrario, le secteur industriel qui ne représente que 7 % du tissu industriel totalise à lui seul 15 % des attaques recensées.

L’autre catégorie de victime mise en avant par le rapport du ministère est le secteur des administrations publiques, qui totalise 20 % des victimes enregistrées et qui a connu une multiplication par trois des attaques sur la période 2019/2020.

 

0,3 % de mis en cause

Face à cela, l’action des forces de l’ordre est à la peine : le rapport indique ainsi que sur 1870 procédures enregistrées sur la période s’étendant de 2016 à 2020, seuls 6 mis en cause ont été enregistrés dans les fichiers de police, soit 0,3 % de l’ensemble des affaires. Les auteurs du rapport rappellent néanmoins que certaines enquêtes au long cours n’indiquent aucun mis en cause tant que l’affaire n’a pas été close, mais le chiffre reste éloquent.

Parmi les autres raisons invoquées par le rapport pour expliquer ces difficultés à appréhender les auteurs des attaques, les auteurs du rapport rappellent la spécialisation grandissante de l’écosystème cybercriminel qui complique les enquêtes, ainsi que les difficultés rencontrées en matière de coopération policière dans les affaires impliquant des suspects situés à l’étranger, dans des pays qui refusent parfois de travailler avec les enquêteurs.

Les hyperviseurs dans le viseur

L’Anssi et son homologue allemand ont également choisi la thématique du ransomware pour leur quatrième rapport commun. Preuve que le sujet est pris très au sérieux par les deux agences de cybersécurité. Ce rapport en anglais décortique les principales tendances récentes en matière de ransomware. Les deux agences détaillent ainsi les différentes techniques utilisées par les attaquants pour infiltrer les systèmes informatiques de leurs victimes, du simple mail de phishing contenant un logiciel malveillant à l’exploitation d’accès RDP (Remote Desktop Protocol) mal sécurisés en passant par les attaques sur la supply chain.

Parmi les évolutions relevées par les auteurs du rapport, les agences notent le développement des logiciels de ransomware visant VMWare Esxi server, une méthode baptisée « hypervisor jackpotting » qui vise à exploiter les failles dans ce logiciel utilisé pour déployer des environnements virtuels. Le BSI allemand explique ainsi avoir constaté l’utilisation de ransomware visant ce type de logiciels dans le second semestre 2020, attribuées au logiciel Defray777 egalement connu sous le nom de RansomExxx.

Plutot Charybde que Scylla (et surtout pas les deux)

L’autre tendance sur laquelle se penche le rapport est le recours aux « leak sites » ces sites web généralement hébergés sur un service caché TOR par les groupes de ransomware afin de revendiquer des attaques et de diffuser des données volées. L’Anssi explique ainsi avoir identifié un total de 31 sites de ce type en juin 2021, contre une poignée en 2019. Si le groupe Maze est généralement reconnu comme étant l’un des premiers groupes cybercriminels à avoir popularisé ce genre de technique, le rapport rappelle que ce n’était pas exactement une première : au mois de mai 2019, soit quelques mois avant l’apparition du groupe Maze, la ville de Baltimore avait déjà du faire face à des menaces similaires suite à une attaque au ransomware sur ses services.

Mais la croissance continue des sites de leaks confirme que ces tactiques sont là pour durée, laissant même les auteurs du rapport envisager que « l’exfiltration des données pourrait à l’avenir se substituer au chiffrement des données ». En guise d’exemple, les agences rappellent les affaires récentes d’exploitation de failles au sein d’instances Accellion FTA par le groupe de ransomware Clop : dans plusieurs cas, les cybercriminels ne se sont pas donné la peine de chiffrer les données des victimes et se sont contentés de demander des rançons pour ne pas diffuser les données volées par ce biais. Les agences saluent néanmoins les efforts des forces de l’ordre dans le démantèlement de réseaux comme Egregor ou Emotet, mais dans ce dernier cas de figure les actualités récentes montrent que le bout du tunnel est encore loin.

Leave a Reply

Your email address will not be published. Required fields are marked *