En 2022, une entreprise sur 13 a subi une tentative d’attaque par ransomware. Avec la fragmentation du paysage des menaces et l’essor du RaaS, 2023 pourrait bien être une année charnière dans la lutte contre ces menaces.
Nous avons vécu des mois traversés par des bouleversements majeurs en matière de cybersécurité, avec un volume d’attaques inégalé en réponse à l’invasion russe en Ukraine.
A commencer par celles, impressionnantes de par leur impact et par les secteurs touchés, des rançongiciels.
Comment cela évolue-t-il ces derniers temps ? A quoi s’attendre ?
Les ransomwares constituent l’une des plus grandes menaces pour la sécurité d’une entreprise.
Au départ, les attaques étaient menées par des entités isolées qui développaient et distribuaient un grand nombre de charges malveillantes automatiquement sur des victimes choisies de manière aléatoire et collectaient de petites sommes à chaque attaque « réussie ». Aujourd’hui, ces attaques ont évolué pour devenir des processus essentiellement humains, menés par des entités mobilisées sur plusieurs semaines.
En 2022, une entreprise sur 13 a subi une tentative d’attaque par ransomware. Le gouvernement du Costa Rica a même été contraint de déclarer une urgence nationale lorsque des pirates informatiques russes, Conti, se sont introduits dans le ministère des Finances et ont exigé une rançon de 20 millions $.
Or, à mesure que cette année 2023 avance, le ransomware tel que nous le connaissons évolue encore : le nombre de victimes diminue et les exigences des hackers changent. Une bonne chose direz-vous, or l’écosystème des ransomwares s’est beaucoup fragmenté et s’est davantage axé sur des cibles spécifiques et plus sophistiquées. De nouvelles variantes de malware apparaissent tous les jours, si bien que le paysage des menaces devient complexe et difficile à appréhender.
Le chiffrement cède la place à l’extorsion
La priorité des acteurs malveillants n’est plus la rançon mais bien d’extorquer des données non chiffrées. Pourquoi ? Parce que les données non chiffrées ont plus de valeur. Elles peuvent tomber dans le domaine public presque immédiatement, et les victimes veulent à tout prix les récupérer, quel qu’en soit le prix.
Ce sont des informations à caractère sensible, comme les données financières et exclusives à une entreprise, des données personnelles de santé – physique ou mentale, des données financières ou et autres informations personnelles identifiables (IPI). Le risque d’exposition des données est donc d’autant plus grand.
Certains groupes ignorent désormais complètement la phase de chiffrement et s’appuient uniquement sur cette menace d’exposition. Il est beaucoup plus facile d’exfiltrer des données que de chiffrer un réseau entier, avec chiffrement puis déchiffrement quand une rançon est payée. Les cybercriminels trouvent le moyen de faire le minimum en gagnant le maximum.
Le cas de Medibank, un assureur santé australien, victime en octobre 2022 d’une attaque, est révélateur de l’extrême efficacité de la menace d’exposition des données personnelles. Quand l’entreprise a refusé de payer une rançon de 10 millions $, les attaquants (peut-être liés au groupe REvil) ont divulgué en masse des informations personnelles confidentielles au sujet d’IVG, d’abus de drogues et d’alcool, de problèmes de santé mentale portant sur des millions de patients australiens et internationaux.
L’évolution du Ransomware-as-a-Service (RaaS)
Malgré l’éclatement de l’écosystème des ransomwares, nous assistons parallèlement à un pivotement vers des modèles économiques plus attractifs, dont celui du Ransomware as a service (RaaS).
Souvent appelé ransomware opéré par l’homme, c’est l’aspect humain qui rend le RaaS aussi dangereux. Les pirates humains prennent des décisions calculées qui débouchent sur une grande variété de schémas d’attaque spécifiquement adaptés à des cibles individuelles. Disponible sur le dark web, il s’agit essentiellement d’un accord entre deux parties.
L’un développe les outils pour mener à bien une attaque, l’autre déploie la charge malveillante. Le coût initial et l’accessibilité de RaaS rendent l’opération commune très rentable pour chacun si elle réussit. L’achat d’un kit est facile et il suffit de manuels bien écrits et de quelques connaissances techniques de base pour exécuter une attaque.
Le RaaS est si rentable qu’il devient une priorité pour les autorités. Un exemple, en 2021, le Département d’état des États-Unis a offert une récompense de 10 millions $ pour toute information permettant de localiser le spécialiste du RaaS, DarkSide.
Les responsables de la sécurité craignent que le RaaS gagne en popularité dans les prochains mois, suite aux licenciements dans le secteur des technologies. Au cours des deux premiers mois de l’année 2023 par exemple, plus de 107 000 employés du secteur technologique ont perdu leur emploi.
Peut-on enfin pirater les pirates ?
Les pays du monde entier se sont déjà dotés de capacités de piratage offensives. En janvier 2023, le procureur général des États-Unis a annoncé que le FBI et ses partenaires internationaux avaient réussi à perturber temporairement le réseau du gang prolifique des ransomwares Hive.
En fait, ils ont piraté les pirates. L’opération, qui a débuté en 2022, a permis d’éviter à de multiples organisations gouvernementales de payer des millions de dollars de rançons.
Par exemple une attaque a été déjouée contre un district scolaire du Texas et évité le versement de 5 millions $ aux pirates. Preuve évidente que le piratage offensif fonctionne, nous pourrions voir davantage d’entreprises adopter cette méthode au cours des prochains mois.
La question se pose : si davantage de groupes savaient qu’ils pouvaient être piratés avant de lancer une attaque, y réfléchiraient-ils à deux fois ?
Quelle est la solution face à l’évolution des ransomwares ?
Une façon de prévenir les attaques de ransomwares serait de légiférer pour interdire aux entreprises d’effectuer des paiements. Auparavant, il s’agissait de gagner de l’argent, aujourd’hui, c’est bien plus que ça, avec des modes opératoires bien plus évolués. Avec la fragmentation du paysage des menaces et l’essor du RaaS, 2023 pourrait bien être une année charnière dans la lutte contre ces menaces.
