Ransomwares : l’ANSSI dresse un bilan 2020 sans appel

ANSSI ransomwares 2021

Le dernier rapport de l’ANSSI sur les ransomwares dépeint un écosystème qui a franchi, en 2020, un cap en matière de structuration et de maturité.

2020, l’année de la maturité pour les ransomwares ? La dernière version du rapport que leur consacre l’ANSSI le suggère. Elle dépeint en tout cas un écosystème qui a atteint un niveau de structuration remarquable.

Cette structuration se manifeste notamment par le développement de chaînes de sous-traitance. Mais aussi par la coopération* entre certains opérateurs de ransomwares. Elle s’inscrit en toile de fond d’attaques plus rapides, plus ciblées… et tout simplement plus nombreuses. En tout cas si on se base sur le nombre de signalements à l’ANSSI : 192 en 2020, contre 54 en 2019.
L’agence n’a pas inclus, dans ses statistiques, les ransomwares qui ne chiffraient pas de fichiers. Elle n’a pas non plus tenu compte, d’une part, des codes de sabotage non distribués dans une logique lucrative. Et de l’autre, des attaques fondées sur des outils de chiffrement légitimes.

Sur la question du ciblage, l’ANSSI donne l’exemple de RansomEXX. Le nom de la victime y est codé en dur. Elle se retrouve à la fois dans l’extension des fichiers chiffrés et dans le mail à utiliser pour payer la rançon. Autre illustration : NetWalker, qui adapte le montant à la victime. DarkSide et RagnarLocker présentent eux aussi des échantillons personnalisés.

Hébergeurs spécialisés

La majorité des signalements ont porté sur des ransomwares utilisés « par affiliation » (as a service). Sodinokibi/REvil en fait partie. En échange de 30 à 40 % de la rançon, on peut bénéficier d’un code de chiffrement, d’une infrastructure de distribution, d’interfaces d’administration, de paiement et de contact, ainsi que d’un site « vitrine ».
Des hébergeurs qu’on appelle « bulletproof hosters » se sont spécialisés dans la fourniture de ces infrastructures qui doivent garantir anonymat et résilience. Cela implique des capacités d’enregistrement discret de noms de domaines et de certificats SSL, l’utilisation d’IP propres qui tournent régulièrement ou encore l’hébergement dans des juridictions hors d’atteinte des traités de coopération judiciaire.

L’ANSSI distingue cinq grands vecteurs d’infection. Il y a ceux qui sont bien établis : le phishing et les accès RDP mal sécurisés. Et ceux qui montent en puissance :

  • Points d’eau
    Visite d’un site Internet compromis qui peut entraîner la distribution d’un ransomware, d’une charge intermédiaire ou d’un kit d’exploitation.
  • Vulnérabilités
    Essentiellement dans des VPN, des logiciels de gestion à distance et des serveurs (en particulier Citrix sur l’année 2020 : DoppelPaymer, Nephilim et RagnarLocker en ont fait usage).
  • Attaques de type « supply chain ».
    Sodinokibi entre dans cette catégorie. Il a touché une vingtaine de villes au Texas en compromettant un prestataire de services informatiques.

Ransomwares : to pay or not to pay ?

Que ce soit pour l’élévation de privilèges, la cartographie des Active Directory ou la latéralisation, les outils de test d’intrusion sont un maillon important des attaques. Les outils Windows (WMI, WinRM, PSExec…) le sont aussi. L’ensemble contribue à réduire le délai entre compromission du SI et chiffrement. Ryuk – qui dispose en plus d’une capacité de Wake-on-LAN – en est emblématique. Au 2e semestre 2020, son delta passé de quelques jours à trois heures.

Il est plus difficile de donner une estimation de ce que les ransomwares coûtent à leurs victimes… et de ce qu’ils rapportent à leurs exploitants. L’ANSSI constate, quoi qu’il en soit, que ces attaques sont d’autant plus utilisées qu’elles sont rentables. Elle souligne aussi à quel point il est parfois tentant de payer. Parfois tout simplement parce que le montant de la rançon est inférieur aux coûts de remédiation. Mais aussi, quelquefois, parce que les assurances cyber l’incitent.

Il n’est pas rare que les cybercriminels soient ouverts à la discussion quant à la rançon. DarkSide, par exemple, dispose d’un « site VIP » dédié aux entreprises de négociation. Certains la poussent. Illustration avec SunCrypt, dont les exploitants menacent les victimes de lancer des attaques DDoS à leur encontre.
La préférence pour le paiement va aux monnaies virtuelles convertibles. Certains privilégient celles réputées moins traçables, à l’image de Monero. C’est le cas de Sodinokibi, qui fait payer 10 % de plus si on règle en bitcoins.

* Le partage de code (DarkSide – Sodinokibi) et de plates-formes d’hébergement de données (Maze – RagnarLocker) sont deux aspects de cette collaboration.

Photo d’illustration © WeissenbachPRCC BY-NC 2.0