Pour gérer vos consentements :
Categories: RisquesSécurité

Cybersécurité : la menace des ransomwares au plus haut

2020, l’année de la maturité pour les ransomwares ? La dernière version du rapport que leur consacre l’ANSSI le suggère. Elle dépeint en tout cas un écosystème qui a atteint un niveau de structuration remarquable.

Cette structuration se manifeste notamment par le développement de chaînes de sous-traitance. Mais aussi par la coopération* entre certains opérateurs de ransomwares. Elle s’inscrit en toile de fond d’attaques plus rapides, plus ciblées… et tout simplement plus nombreuses. En tout cas si on se base sur le nombre de signalements à l’ANSSI : 192 en 2020, contre 54 en 2019.
L’agence n’a pas inclus, dans ses statistiques, les ransomwares qui ne chiffraient pas de fichiers. Elle n’a pas non plus tenu compte, d’une part, des codes de sabotage non distribués dans une logique lucrative. Et de l’autre, des attaques fondées sur des outils de chiffrement légitimes.

Sur la question du ciblage, l’ANSSI donne l’exemple de RansomEXX. Le nom de la victime y est codé en dur. Elle se retrouve à la fois dans l’extension des fichiers chiffrés et dans le mail à utiliser pour payer la rançon. Autre illustration : NetWalker, qui adapte le montant à la victime. DarkSide et RagnarLocker présentent eux aussi des échantillons personnalisés.

Ransomware as a service

La majorité des signalements ont porté sur des ransomwares utilisés « par affiliation » (as a service). Sodinokibi/REvil en fait partie. En échange de 30 à 40 % de la rançon, on peut bénéficier d’un code de chiffrement, d’une infrastructure de distribution, d’interfaces d’administration, de paiement et de contact, ainsi que d’un site « vitrine ».
Des hébergeurs qu’on appelle « bulletproof hosters » se sont spécialisés dans la fourniture de ces infrastructures qui doivent garantir anonymat et résilience. Cela implique des capacités d’enregistrement discret de noms de domaines et de certificats SSL, l’utilisation d’IP propres qui tournent régulièrement ou encore l’hébergement dans des juridictions hors d’atteinte des traités de coopération judiciaire.

L’ANSSI distingue cinq grands vecteurs d’infection. Il y a ceux qui sont bien établis : le phishing et les accès RDP mal sécurisés. Et ceux qui montent en puissance :

  • Points d’eau
    Visite d’un site Internet compromis qui peut entraîner la distribution d’un ransomware, d’une charge intermédiaire ou d’un kit d’exploitation.
  • Vulnérabilités
    Essentiellement dans des VPN, des logiciels de gestion à distance et des serveurs (en particulier Citrix sur l’année 2020 : DoppelPaymer, Nephilim et RagnarLocker en ont fait usage).
  • Attaques de type « supply chain ».
    Sodinokibi entre dans cette catégorie. Il a touché une vingtaine de villes au Texas en compromettant un prestataire de services informatiques.

Ransomwares : la tentation de payer

Que ce soit pour l’élévation de privilèges, la cartographie des Active Directory ou la latéralisation, les outils de test d’intrusion sont un maillon important des attaques. Les outils Windows (WMI, WinRM, PSExec…) le sont aussi. L’ensemble contribue à réduire le délai entre compromission du SI et chiffrement. Ryuk – qui dispose en plus d’une capacité de Wake-on-LAN – en est emblématique. Au 2e semestre 2020, son delta passé de quelques jours à trois heures.

Il est plus difficile de donner une estimation de ce que les ransomwares coûtent à leurs victimes… et de ce qu’ils rapportent à leurs exploitants. L’ANSSI constate, quoi qu’il en soit, que ces attaques sont d’autant plus utilisées qu’elles sont rentables. Elle souligne aussi à quel point il est parfois tentant de payer. Parfois tout simplement parce que le montant de la rançon est inférieur aux coûts de remédiation. Mais aussi, quelquefois, parce que les assurances cyber l’incitent.

Il n’est pas rare que les cybercriminels soient ouverts à la discussion quant à la rançon. DarkSide, par exemple, dispose d’un « site VIP » dédié aux entreprises de négociation. Certains la poussent. Illustration avec SunCrypt, dont les exploitants menacent les victimes de lancer des attaques DDoS à leur encontre.
La préférence pour le paiement va aux monnaies virtuelles convertibles. Certains privilégient celles réputées moins traçables, à l’image de Monero. C’est le cas de Sodinokibi, qui fait payer 10 % de plus si on règle en bitcoins.

* Le partage de code (DarkSide – Sodinokibi) et de plates-formes d’hébergement de données (Maze – RagnarLocker) sont deux aspects de cette collaboration.

Photo d’illustration © WeissenbachPR / CC BY-NC 2.0

Recent Posts

Cloud : qui sont les leaders sur le marché français ?

Si les filiales des leaders américains se taillent la part du lion sur le marché…

6 jours ago

Communications unifiées : Microsoft garde Zoom à distance

Boostée par la pandémie de covid-19, la demande solutions de communications unifiées et collaboratives (UCC)…

2 semaines ago

Digital workplace : les contours d’une nouvelle approche

Avec l'approche Managed Workplace Services (NWS), Gartner redimensionne la digital workplace en intégrant désormais l’accompagnement…

3 semaines ago

Comment Free Pro s’attaque au marché des entreprises

Free Pro est lancée avec un ticket d'entrée à 49,99 € HT par mois. Zoom…

4 semaines ago

Google Workspace : comment activer le SLA

Quelles compensations peut-on espérer dans le cadre de l’offre Google Workspace en cas de défaillance…

4 semaines ago

Navigateurs en entreprise : Chrome et Edge contrôlent les mises à jour

En réponse à l'accélération du rythme des mises à jour de Chrome et d'Edge, Google…

1 mois ago