Cybereason, société incontournable sur les solutions de détection et de réponse étendues (XDR), vient de publier un nouveau rapport intitulé RansomOps : Inside Complex Ransomware Operations and the Ransomware Economy (en anglais), qui étudie l’évolution des attaques par ransomware, passées en moins de 10 ans d’une pratique que l’on peut qualifier d’« artisanale » à une méga-industrie de plusieurs milliards de dollars. Du fait de la sophistication croissante des attaques de type RansomOps, les conglomérats du ransomware engrangent des bénéfices records, et étendent leur emprise aux entreprises et organisations de toutes tailles, tant dans le secteur public que privé.
Au début, les auteurs d’attaques par ransomware utilisaient des tactiques dites de « spray and pray », soit ratisser large pour espérer ferrer quelques « poissons ». Il s’agissait essentiellement de particuliers, pour lesquels les demandes de rançon étaient relativement faibles par rapport à ce que nous avons commencé à voir en 2020-2021. Avec l’émergence des RansomOps, de nature complexe et qui s’apparentent aux opérations furtives menées par ceux cherchant à intenter à l’intégrité des États-nations, la plupart des organisations ont plus de mal à se défendre face aux attaques par ransomware. Ainsi enhardis, leurs auteurs ont revu leurs prétentions à la hausse, car de plus en plus d’organisations choisissent hélas de payer.
« La mutation initiée par les gangs du ransomware, passant de campagnes à grande échelle à des attaques ciblées, envers des entités en capacité de payer des rançons de plusieurs millions de dollars, est à l’origine de la hausse des attaques en 2021. L’année dernière, les attaques RansomOps les plus médiatisées ont été celles visant Colonial Pipeline et JBS Foods. Nous devons hélas nous attendre à une augmentation continue des attaques en 2022, avec des demandes de rançon en hausse et ciblant les opérateurs d’infrastructures critiques, les hôpitaux et les banques », explique Lior Div, PDG et cofondateur de Cybereason.
« Les rançongiciels demeurent la principale menace cybercriminelle et continuent de causer des dommages, des perturbations et des pertes financières considérables. Les criminels cherchant à maximiser leurs gains illicites en exfiltrant et en exploitant les données de la victime avant qu’elles ne soient cryptées, les ransomwares constituent une menace en constante évolution et présentent un risque grave pour la cybersécurité qui exige une réponse en réseau. Celle-ci doit inclure l’application de la loi et des partenariats public-privé tels que l’initiative No More Ransom », indique quant à lui Phillip Amann, chef de la stratégie du Centre européen de lutte contre la cybercriminalité (EC3), Europol.
Le nouveau rapport détaille les quatre composantes des RansomOps :
Courtiers d’accès initial (IAB) : ils infiltrent les réseaux cibles, s’y établissent et évoluent latéralement au sein de l’entité afin de compromettre la plus grande partie possible du réseau, puis revendent l’accès ainsi établi à d’autres cybercriminels.
Fournisseurs de ransomwares en tant que service (RaaS) : ce sont eux qui développent le code du ransomware, les mécanismes de paiement, qui gèrent les négociations avec la victime ciblée et assurent d’autres prestations de « service client », tant auprès des cybercriminels que des victimes.
Affiliés au ransomware : ils passent un contrat avec le fournisseur RaaS, sélectionnent les organisations à cibler, puis mènent l’attaque par ransomware à proprement parler.
Échanges de cryptomonnaies : il s’agit ici de blanchir le produit de l’extorsion.
Un précédent rapport de Cybereason, intitulé Ransomware : The True Cost to Business (en anglais), a révélé que 80 % des organisations qui ont payé une rançon ont fait l’objet d’une deuxième attaque par ransomware, organisée bien souvent par les mêmes cybercriminels. Plutôt que de payer, les organisations ont donc tout intérêt à se concentrer sur des stratégies de détection et de prévention précoces, afin de tuer dans l’œuf les attaques par ransomware, avant que les systèmes et les données critiques ne soient mis en péril. Il existe d’autres raisons légitimes de ne pas céder au chantage, parmi lesquelles :
Aucune garantie de récupération des données : Payer la somme demandée ne signifie pas forcément que vous retrouverez l’accès à vos données cryptées. Il arrive que les utilitaires de décryptage fournis par les cybercriminels ne donnent pas les résultats escomptés. Dans le cas de l’attaque de Colonial Pipeline, en 2021, la société a payé une rançon de 4,4 millions de dollars pour réceptionner de la part du DarkSide Group des clés de décryptage défectueuses... Et a donc dû restaurer ses propres sauvegardes pour rétablir ses systèmes.
Implications légales : Les organisations rançonnées pourraient devoir payer de lourdes amendes au gouvernement américain pour avoir financé des auteurs d’attaques par ransomware qui eux-mêmes soutiennent des organisations terroristes. En outre, les attaques par ransomware touchant la chaîne d’approvisionnement d’une organisation, et qui ont au final un impact sur ses clients ou ses partenaires, exposent cette organisation à des poursuites judiciaires potentielles de la part des parties lésées.
Ne pas souffler sur les braises des attaques par Ransomware : En choisissant de payer la rançon exigée, les organisations envoient un message aux cybercriminels : « ça fonctionne ». Message qui alimente d’autant plus le flot d’attaques et fait grimper le montant des rançons. À l’instar de Cybereason, le FBI conseille aux organisations de refuser de payer les rançons, car cela ne fait qu’encourager les acteurs malveillants à poursuivre dans cette voie.