Par Olivier Spielmann, VP Managed Security Services chez Kudelski Security
La menace des ransomwares n’est pas nouvelle. Bien qu’elle ait vraiment pris de l’ampleur vers le milieu des années 2010, les cyberattaques de ce type existent depuis plus de trente ans. Cependant, récemment, la bataille contre les ransomwares a changé : les acteurs doivent faire face à des volumes d’attaques de plus en plus importants, des demandes de rançons plus élevées et des stratégies de plus en plus sophistiquées ; ceci afin de maximiser le bénéfice des cyber criminels. Et comme les attaques par ransomwares continuent d’être très lucratives pour ces derniers, il est peu probable que cette tendance s’inverse de sitôt.
L’évolution de la menace actuelle des ransomwares
La première attaque connue a eu lieu en 1989. Elle ciblait les participants d’une conférence, portant sur le sida, organisée par l’Organisation Mondiale de la Santé. Des disquettes, qui étaient partagées avec les participants, contenaient un virus infectant les systèmes MS-DOS. Ce virus permit le cryptage de noms de fichiers, rendant les systèmes concernés pratiquement inutilisables. Les victimes étaient invitées à envoyer un paiement à la « PC Cyborg Corporation » (avec une adresse au Panama) afin de retrouver leurs fichiers corrompus. Cette première attaque n’a pas connu un franc succès : le courrier postal était un moyen inefficace de collecter le paiement et les méthodes de cryptage utilisées étaient faibles. Les experts ont alors pu développer un outil de restauration, rapidement rendu public. Malgré cet échec, l’attaque connue sous le nom d’AIDS Trojan/PC Cyborg a involontairement fourni à la prochaine génération d’attaquants un modèle à suivre afin d’atteindre l’objectif escompté : le paiement !
Les nouvelles générations de ransomwares comportent une cryptographie à clé publique (permettant d’éviter que les clés de décryptage soient intégrées au malware), intègrent des moyens efficaces permettant d’obtenir un accès initial aux environnements des victimes et de diffuser efficacement le ransomware dans les systèmes informatiques d’une organisation, ainsi qu’une solide stratégie de persuasion et de collecte de paiements transfrontaliers anonymes pour la récolte de la rançon. Avec l’essor du bitcoin et d’autres crypto-monnaies au début des années 2010, les conditions étaient réunies pour que les ransomwares deviennent la menace constante et croissante qu’ils représentent aujourd’hui.
Dans cette nouvelle ère – qui débuta par la cyberattaque WannaCry, en 2017 – où les logiciels malveillants se répandent massivement et « à vitesse grand V », les attaques sont très médiatisées, les rançons peuvent se chiffrer en millions et les victimes sont incitées à payer avec des techniques toujours plus persuasives. Exploitant une vulnérabilité de Microsoft Windows pour laquelle un correctif était déjà disponible, WannaCry a fini par infecter plus de 230’000 ordinateurs dans plus de 150 pays, générant des demandes de paiement en bitcoins dans 20 langues différentes.
L’émergence des Ransomwares-as-a-Service
Au cours des dernières années, les exploitants de ransomwares se sont tournés vers les développeurs de logiciels afin de trouver un nouveau modèle économique. Avec la popularité du Software-as-a-Service (SaaS), les cybercriminels ont permis à tout un chacun de créer son propre virus. Ces kits appelés « Ransomware-as-a-Service » (RaaS) permettent aux criminels en herbe, dotés de peu de compétences techniques, de lancer des attaques – à condition de laisser une marge sur la rançon au fournisseur de la solution. Ils font l’objet d’une large publicité et sont disponibles sur le Dark Web, où tout le monde, des groupes cybercriminels organisés aux particuliers, peut les acheter. Comme le SaaS, le RaaS peut inclure une assistance aux utilisateurs 24/24h et 7/7j, des offres groupées, l’accès aux avis des utilisateurs et aux forums communautaires. Les prix proposés pour ce type de prestation sont relativement bas, allant de 40 dollars à plusieurs milliers de dollars par mois ou simplement un pourcentage de commission sur tout paiement de ransomware reçu.
Le niveau moyen des demandes de rançon ayant atteint un nouveau record à fin 2020 – plus de 250’000 dollars au troisième trimestre – et poursuivant jour après jour sa tendance à la hausse, il est facile de comprendre l’attrait des criminels pour ce modèle. D’autant plus que selon les statistiques recensées, plus de la moitié des rançons ont été payées en 2020.
Pendant ce temps, le développement des ransomwares se professionnalise massivement, fonctionnant dorénavant à l’échelle industrielle. Les opérateurs RaaS réinvestissent leurs gains dans des équipements plus fiables et l’embauche de nouveaux experts, telles que des développeurs de logiciels chargés d’intégrer rapidement les derniers outils et méthodes d’attaque.
Comment prévenir une menace qui ne cesse d’évoluer ?
Dans les mois et les années à venir, il est certain que ces attaques continueront d’augmenter en fréquence, en gravité, en impact et en coût. Tant que les entreprises continueront de payer plutôt que de faire face aux conséquences commerciales et opérationnelles, il n’y aura pas de fin en vue. Chaque fois qu’une victime paie, les cybercriminels sont incités à continuer.
Dans le monde d’aujourd’hui, il est facile de se procurer des méthodes de paiement favorables aux criminels. Il est possible de collecter des paiements anonymes de plusieurs millions de dollars, ce que font régulièrement les groupes cybercriminels. Bien que l’attribution soit toujours un défi, il semble que certains acteurs s’affilient à ces groupes criminels organisés, les attaques par ransomwares faisant désormais partie du front cybernétique géopolitique mondial. Malgré tous les efforts déployés par les forces de l’ordre et les organismes gouvernementaux, ces groupes continuent d’opérer en toute impunité. Comme ils sont installés dans des juridictions où ils bénéficient de la protection tacite ou explicite des gouvernements et des autorités locales, il est extrêmement difficile de les arrêter.
Et comme un nombre croissant d’attaques très médiatisées attire l’attention des médias, elles continuent d’inviter les copieurs à les imiter. La cyberattaque contre Colonial Pipeline cette année a par exemple attiré l’attention du monde entier lorsqu’elle a permis aux hackers d’interrompre l’approvisionnement en carburant de l’est des États-Unis. Peu après, l’attaque de la chaîne d’approvisionnement de Kaseya a démontré l’ampleur de l’impact que peuvent avoir de telles attaques. À la suite de ces événements, il est probable que les gouvernements interviendront de plus en plus, notamment par le biais de nouvelles réglementations. Il incombe à toutes les organisations de limiter leur exposition en élaborant et en mettant en œuvre un programme de gestion rigoureux. Sans cela, et sans une base solide de stratégie cybersécurité, les conséquences financières finiront par devenir, pour tous, trop lourdes à supporter.
Pour les entreprises, il est donc plus important que jamais de gérer ce risque et mettre en œuvre les protections et préparations nécessaires pour y faire face. L’étendue des solutions passe par des éléments d’hygiène du parc informatique (sauvegardes de données, application des correctifs de sécurité), de sensibilisation des utilisateurs à ces menaces, de mise en place de solutions de protection et détection contre ces attaques, et de préparation à l’éventualité de devoir faire face à un ransomware.