Les groupes de rançongiciels deviennent la mafia du XXIe siècle

Par :
Rodolphe Moreno

mar, 09/11/2021 - 16:17

La technique des cyberattaquants se perfectionne, ces derniers font preuve de plus en plus de créativité et vont même jusqu’à s’inspirer des méthodes de marketing des entreprises pour ce qui concerne « l’identité de marque ». À l'instar du monde de l'entreprise, où les sociétés fusionnent, où les talents changent d'entreprises, ou encore où des sociétés changent de nom, les gangs de ransomware s’inspirent plus que jamais de ces méthodes pour se repositionner sur le marché et devenir la cyber-mafia du 21e siècle. Cependant, cette tendance des groupes de ransomware as a corporation (RaaC) à se repositionner n'est pas nouvelle, ni rare, surtout dans le contexte actuel de la sécurité.

Par le passé, les cybercriminels cherchaient avant tout à se surpasser les uns les autres pour se donner le plus d'influence et de notoriété possible. Toutefois, un changement sismique s'est produit en 2012 lorsque le ransomware Reveton a connu un grand succès en extorquant des victimes de toute l'Europe. Il a été suivi presque immédiatement par le tristement célèbre ransomware CryptoLocker, dont le butin est estimé à plus de 3 millions de dollars avant de disparaître. Depuis, ces groupes cybercriminels ont pris conscience du véritable pouvoir du ransomware : le gain financier. Ils s'efforcent donc désormais de gagner le plus d'argent possible en évitant d'être repérés.

Le recours à la création d'une nouvelle marque, pour brouiller les pistes, est l'un de leurs nouveaux outils pour rester sous les radars. En changeant d’identité, les gangs sont en mesure d'éviter les sanctions imposées par les autorités. En acceptant de ne pas s'attaquer aux gouvernements, aux écoles, aux hôpitaux ou à d'autres infrastructures critiques qui donneraient lieu à une enquête approfondie, ces groupes deviennent beaucoup plus difficiles à détecter, car la majorité des entreprises touchées ne veulent pas rendre publique une telle attaque. Certains groupes ont même des liens avec des acteurs étatiques. En effet, certains gouvernements permettent aux activités criminelles de se poursuivre tant qu'elles ne ciblent pas certains pays. En ciblant des PME plutôt que de grandes sociétés, les groupes de ransomware se sont aperçus que celles-ci étaient beaucoup plus lucratives. En effet, les cybercriminels réalisent que les PME ont tendance à payer plus rapidement, n’ayant pas forcément la capacité de survivre si elles ne sont pas remises en marche rapidement.

Tout comme les gangs de la mafia, ces cyber-gangs de la nouvelle ère rivalisent pour accéder à des cibles lucratives. Cette nouvelle cyber-guerre de territoire consiste à perturber les opérations des autres en volant du code, en divulguant les clés de chiffrement de leurs rivaux, voire en rejetant la faute sur ces derniers. Des groupes de ransomware ont ainsi fermé boutique, puis sont réapparus ailleurs sous un nouveau nom. 

Cela permet de tenir les gouvernements et les forces de l'ordre à l'écart et leur permet de mettre en place de nouvelles infrastructures et de nouveaux modèles commerciaux.

Le mantra du groupe de ransomware BlackMatter est le plus explicite : "Nous sommes une équipe qui unit les gens en fonction d'un intérêt commun : l'argent". De plus, quelques cyberattaques récentes et majeures sont d'excellents exemples de gangs de ransomware « rebrandés » qui ont finalement réussi leur mission. DarkSide a pu exploiter l'accès VPN d'un ancien employé pour pénétrer dans le réseau de Colonial Pipeline et recevoir près de 4,5 millions de dollars, suite à la demande de rançon. 

Bien qu'une partie de cette somme ait finalement été récupérée par les autorités, le gang s'est trop fait remarquer lors de l'attaque et est entré dans la clandestinité, avant de réapparaître sous le nom de BlackMatter.

Lockbit 2.0, anciennement connu sous le nom d'ABCD, a récemment été responsable du vol de plus de 6 To de données et de la demande de 50 millions de dollars de rançon à Accenture, tandis que REvil a demandé 70 millions de dollars à la suite de la violation dévastatrice de Kaseya, où il a pu exploiter une vulnérabilité vieille de cinq ans. Bien que ces attaques soient "terminées" dans l'esprit de certains, c'est loin d'être le cas, car les portefeuilles des entreprises sont toujours en jeu.

Pour de nombreuses organisations et de nombreux chefs d'entreprise, la question de savoir comment prévenir ces attaques reste une priorité. Il existe de bonnes pratiques faciles à mettre en œuvre et qui améliorent considérablement la posture de sécurité :

1.         Préparer les attaques à l'avance en disposant d'un plan de réponse aux incidents prêt à être mis en œuvre rapidement et à être testé chaque année.

2.         Appliquer l'authentification multifactorielle (MFA) sur tous les systèmes et ne pas autoriser l'utilisation d'un mot de passe unique sur plusieurs systèmes.

3.         Limiter la zone d'attaque en disposant d'une solide option de sauvegarde, en utilisant la segmentation du réseau, en corrigeant les vulnérabilités et en maintenant à jour les systèmes d'exploitation, les logiciels et les micrologiciels.

4.         Exiger une formation annuelle de sensibilisation à la sécurité pour tous les employés et activer des filtres anti-spam puissants pour empêcher les e-mails de phishing d'atteindre les utilisateurs finaux.

5.         Limiter les faux positifs afin de réduire la fréquence des alertes et envisager une couverture par une cyberassurance.

Une poignée de groupes de ransomware pourraient finir par disparaître sous la pression des pouvoirs publics, à la suite d'enquêtes fructueuses menées par les forces de l'ordre, ou même à la suite de changements de direction et de luttes de pouvoir internes. Mais au bout d'une semaine, d'un mois ou même d'un an, ils réapparaîtront probablement sous une nouvelle apparence, compte tenu des sommes d'argent en jeu. 

Quel que soit le nom qu'ils se donnent, les derniers "efforts de marketing" de la cyber-mafia du XXIe siècle se résument finalement à une seule chose : l'argent.

A propos de l'auteur

Rodolphe Moreno
VP de la région Europe du Sud chez Deep Instinct