Les auteurs d'attaques par rançongiciel accentuent leurs tactiques d'extorsion

Les sept tendances à l'œuvre derrière l'élévation des enjeux et le durcissement des négociations

Les campagnes d'attaques par rançongiciel s'administrent comme une entreprise

Avec l'avènement de la chasse au gros gibier en matière de rançongiciels, les criminels font preuve de créativité concernant la manière dont ils sélectionnent leurs victimes, optimisent les perturbations et encouragent le versement des rançons. Cette stratégie implique la recherche de cibles de grande valeur et à haute visibilité, ainsi que la synchronisation des attaques en conséquence afin d'infliger le maximum de dégâts.

Les victimes ont tendance à être issues des secteurs les plus négativement affectés par les interruptions de service, comme l'enseignement, la santé et le gouvernement.

La manière dont les auteurs d'attaques par rançongiciel s'en prennent aux entreprises a radicalement évolué depuis 2019. Au-delà de la hausse des exigences en termes de rançon, les moyens de pression utilisés par les criminels deviennent de plus en plus intenses, créatifs et publics. La réponse à ces nouveaux défis nécessite une approche exhaustive du Zero Trust afin de refuser aux acteurs malveillants la possibilité d'exploiter les vecteurs d'attaque et d'effectuer des mouvements latéraux.

Comment les criminels parviennent à susciter une pression supplémentaire au sein de « l'économie de l'extorsion »

Les stratégies employées par les criminels pour mener leurs attaques par rançongiciel évoluent constamment, mais les attaques lancées ces deux dernières années montrent un thème commun. Les tactiques d'extorsion mises en œuvre s'avèrent ainsi plus douloureuses et plus visibles, avec des enjeux bien plus élevés. L'objectif ne consiste plus simplement à chiffrer les fichiers, mais à rendre les répercussions potentielles tellement considérables que le versement de la rançon semble la seule issue. Le taux de réussite s'en révèle ainsi considérablement accru. Vous trouverez ci-dessous sept tactiques récentes utilisées par les auteurs d'attaques :

1. Double extorsion : exfiltration et publication des données

Avant 2019, il était rare pour les criminels de dérober des données dans l'intention de les faire fuiter. Toutefois, selon cette analyse, une large proportion (83,3 %) des attaques lancées au troisième trimestre 2021 impliquaient la menace d'une exfiltration des données. Différents cartels d'auteurs d'attaques par rançongiciel ont ainsi apporté leur propre touche à leur manière de mener les négociations et d'encourager le versement des rançons. Certains, comme le groupe Clop (spécialisé dans ce type d'attaques), demandent deux rançons distinctes : l'une pour récupérer la clé de chiffrement, l'autre pour éviter le fuitage des fichiers. Ce mode d'opération signifie qu'une entreprise peut se voir contrainte de payer pour éviter une atteinte à sa réputation ou des amendes liées au respect de la confidentialité des données, même si elle dispose de sauvegardes à partir desquelles restaurer ses fichiers. Les acteurs malveillants peuvent également rendre l'accès à certains des fichiers initiaux en geste de bonne foi. L'attaque constitue dès lors l'équivalent d'un essai gratuit dans le contexte des rançongiciels. Les criminels conservent néanmoins la possibilité de faire fuiter immédiatement du contenu et de publier le reste par paliers programmés.

2. Triple extorsion : menaces envers les tiers

En situation de triple extorsion, les acteurs malveillants contactent les clients, les partenaires commerciaux et les autres tiers associés à l'entreprise visée. Dans certaines circonstances, cette démarche aura pour objectif d'exiger un paiement du tiers contacté, comme dans le cas de cette attaque lancée contre une clinique psychiatrique. Les patients se sont alors vus demander de payer afin d'éviter que les notes issues de leurs sessions soient publiées en ligne. Dans d'autres cas, les criminels invitaient les parties concernées à contacter l'entreprise visée afin de l'inciter à verser la rançon. Il s'agissait ainsi en quelque sorte d'une forme d'externalisation de leurs efforts de coercition.

3. Synchronisation des attaques afin de provoquer le maximum de dégâts

D'après le FBI, certaines entreprises sont visées sur la base d'événements imminents, comme les fusions, les acquisitions et les annonces de produits. Les risques d'atteintes à la réputation et de chute de la valeur de l'action rendent ainsi la demande de rançon d'autant plus impérieuse. Le FBI signale que ce type de situation se révèle également vrai pour les fusions sous négociations privées. En infiltrant les réseaux, les criminels cherchent à découvrir des données non publiques permettant d'identifier des cibles et de motiver le versement de rançons. Une fuite peut se montrer particulièrement destructrice pour une entreprise lorsqu'elle implique la divulgation de l'architecture ou de la feuille de route d'un produit, car elle nuit alors à l'avantage concurrentiel. Le FBI a constaté que les acteurs malveillants sévissaient fréquemment pendant les vacances et les week-ends, c'est-à-dire à un moment où la création d'une perturbation s'avère plus facile.

4. Intimidation virtuelle et physique

Les criminels accablent et harcèlent leurs victimes via plusieurs canaux. En s'appuyant sur les informations acquises pendant l'infiltration d'un réseau, certains groupes contactent les collaborateurs de l'entreprise visée par téléphone et par e-mail. Les acteurs malveillants qui utilisent le rançongiciel Egregor sont ainsi connus pour imprimer à distance leurs demandes de rançon sur les propres imprimantes des entreprises attaquées. D'autres mettent en place un compte à rebours pour attirer l'attention sur la date d'expiration d'une offre de rançon ou le moment auquel le montant exigé augmentera.

5. Fuites de données sur des sites d'humiliation publique

Des dizaines de sites web consacrés à la publication de données volées ont émergé ces deux dernières années. Les criminels utilisent ces pages pour publier les données des victimes qui ne leur versent pas de rançon ou faire fuiter leurs fichiers un à un, afin de faire monter les enjeux cran par cran pendant les négociations. La publication de données à caractère personnel exige le signalement de la violation aux autorités, qui peuvent alors imposer une amende à l'entreprise victime.

6. Accroissement de l'attention

Les tactiques visant à augmenter la visibilité d'une attaque se révèlent extrêmement variées. Les acteurs malveillants peuvent, par exemple, contacter des journalistes afin d'accroître la pression sur l'entreprise visée (pour la pousser à verser la rançon) ou d'exposer les batailles juridiques de cette dernière en matière de confidentialité des données. Le groupe Ragnar Locker a ainsi attiré l'attention sur l'une de leurs attaques en achetant des publicités sur Facebook à l'aide d'identifiants volés. Certains groupes spécialisés dans les rançongiciels cherchent à faire des bénéfices dans le monde entier en vendant les données de leurs victimes aux enchères. L'un des événements qui fit les gros titres à l'époque fut la vente aux enchères organisée par le groupe REvil, qui vit le groupe vendre les données des clients d'un cabinet juridique spécialisé dans les célébrités.

7. Adjonction d'une attaque DDoS

Alors que l'entreprise visée croule déjà sous les nombreuses tâches à accomplir (contacter les autorités et les clients, localiser les fichiers de sauvegarde et minimiser les mouvements latéraux), certains acteurs malveillants peuvent également la menacer d'une attaque par déni de service distribué, voire tout bonnement en lancer une. L'engorgement d'un réseau pendant une période mouvementée ajoute du stress et mobilise de nouvelles ressources informatiques.

Les facteurs motivant l'utilisation de nouvelles tactiques d'extorsion, particulièrement extrêmes

Pourquoi les tactiques d'extorsion ont-elles évolué aussi soudainement, alors que les rançongiciels existent depuis des décennies ?

Les criminels peuvent plus que jamais accentuer la pression sur leurs victimes afin de les inciter à verser une rançon, car les enjeux poussant les entreprises visées à maintenir leur présence en ligne se montrent considérablement plus élevés. Vu qu'une grande partie de l'activité se déroule désormais en ligne, il s'avère essentiel pour ces dernières d'éviter les interruptions de service. Les acteurs malveillants savent à quel point l'ingérence avec les connexions des collaborateurs en télétravail, mais aussi avec les sessions de formation des étudiants, les rendez-vous des patients, les commandes des clients ou tout autre aspect des opérations quotidiennes des entreprises, peut se révéler source de perturbations. Même si une entreprise dispose de sauvegardes pour restaurer ses fichiers, le temps nécessaire à cette procédure peut entraîner des coûts financiers supérieurs au versement de la rançon.

Les autres facteurs à l'œuvre derrière l'évolution des tactiques d'attaque au cours des deux dernières années incluent les suivants :

• L'essor du ransomware-as-a-service (rançongiciel en tant que service). Tout comme une entreprise peut profiter d'un pare-feu par l'intermédiaire d'un service fondé sur le cloud, n'importe qui peut louer et déployer un rançongiciel, indépendamment de ses possibilités techniques. Ce modèle (qui implique le paiement d'un tarif forfaitaire ou d'un pourcentage des rançons récoltées) élimine les obstacles empêchant le lancement de ce type d'attaque.

• Les marges bénéficiaires incroyablement élevées. Une estimation évalue la marge bénéficiaire d'une attaque par rançongiciel à 98 %. Comparés à d'autres activités illégales, les attaques par rançongiciels présentent un risque considérablement plus faible d'arrestation ou de mort, soit une incitation supplémentaire à l'apparition de nouveaux arrivants sur le marché.

• Les obligations de protection des données privées. Suite à la promulgation et à la mise en application de règlements relatifs à la confidentialité, comme le RGPD, les fuites de données peuvent entraîner un risque d'amendes considérables pour les entreprises victimes et de potentielles poursuites judiciaires de la part des individus dont les données ont été exposées. Ce schéma affecte la manière dont les criminels sélectionnent leurs cibles et calculent leurs rançons, car ils savent que les entreprises procéderont à une analyse du rapport coût-avantages lors de la planification de la réponse à l'incident.

Protéger le périmètre réseau

Les entreprises ont besoin d'une stratégie exhaustive et multidimensionnelle pour prévenir et atténuer les attaques par rançongiciel, en particulier depuis l'accroissement des retombées possibles d'une attaque résultant de l'utilisation de ces nouvelles tactiques d'extorsion.

Une campagne d'attaques par rançongiciel se compose de plusieurs phases. Il existe donc de nombreuses occasions de les arrêter. L'adoption d'un modèle de sécurité Zero Trust constitue un moyen de renforcer le périmètre d'un réseau et de limiter les mouvements latéraux. Cette approche (qui implique la mise en œuvre de mesures strictes de contrôle des accès et de ne faire confiance à aucun utilisateur ou système par défaut) diminue les chances qu'a un criminel d'élever ses privilèges et de trouver de nouveaux leviers pour durcir les négociations.

Vous trouverez ci-dessous une liste des aspects du modèle Zero Trust qui contribuent à prévenir et atténuer les attaques par rançongiciel :

• Accès basé sur le principe du moindre privilège : cette approche implique de n'autoriser chaque utilisateur qu'à accéder aux parties du réseau dont ils besoin, afin de minimiser l'exposition et les mouvements latéraux potentiels en cas d'attaque.

• Authentification multifacteurs : la mise en place de plusieurs moyens de prouver l'identité d'une personne complique la tâche aux acteurs malveillants qui tentent de se faire passer pour un utilisateur.

• Isolation du navigateur : en confinant l'activité de navigation à un environnement physiquement isolé et basé sur le cloud, les entreprises peuvent protéger les réseaux contre les applications et les sites malveillants.

• Filtrage DNS : cette méthode visant à empêcher les utilisateurs et les points de terminaison de charger des sites malveillants permet de tenir les rançongiciels à bonne distance des appareils des utilisateurs et du réseau en général.

• Vérification du niveau de sécurité des utilisateurs et des appareils : la mise en place de tests de vérification croisée et en continu avec les fournisseurs de sécurité des points de terminaison et les fournisseurs d'identité permet de s'assurer que seuls les utilisateurs et les appareils sécurisés peuvent se connecter au réseau.

Cloudflare One, notre plateforme Zero Trust de network-as-a-service (NaaS, réseau en tant que service), allie des services de sécurité et de mise en réseau afin de connecter de manière sécurisée les utilisateurs distants, les bureaux et les datacenters. Elle permet de prévenir les attaques par rançongiciel en isolant les activités de navigation à haut risque, en bloquant l'accès aux URL malveillantes et en protégeant les ports ouverts des serveurs contre les intrusions externes.

Cet article fait partiede notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies d'aujourd'hui.

Points clés

Cet article vous permettra de comprendre les points suivants :

• Les nouvelles tactiques d'extorsion agressives utilisées par les rançongiciels

• Les facteurs à l'œuvre derrière l'évolution de ces méthodes

• La manière dont les pirates appuient leurs négociations sur les données acquises lors de leurs opérations d'infiltration des réseaux

• L'importance des principes Zero Trust dans l'atténuation des attaques par rançongiciel

Ressources associées

• Guide : Débuter avec le modèle SASE

• Infographie : Le RSI du Zero Trust

• Jeu interactif : Zero Trust Quest

• Article de blog : Anatomie d'une attaque par rançongiciel ciblée

• Vidéo : Comment Cloudflare sécurise les effectifs en télétravail