Au cours de ces cinq dernières années, les ransomwares ont bien évolué : d’une menace qui ne ciblait que les ordinateurs de particuliers, ils représentent désormais un vrai danger pour les réseaux des entreprises. Les cybercriminels ont cessé d’essayer d’infecter le plus d’ordinateurs possibles et ciblent désormais des victimes importantes. Les attaques contre les organisations commerciales et les organismes gouvernementaux requièrent une planification minutieuse mais peuvent rapporter des dizaines de millions de dollars.
Les groupes de ransomwares exploitent les moyens financiers des entreprises, qui ont tendance à être plus importants que ceux des utilisateurs lambdas. De plus, de nombreux groupes récents de ransomwares volent les données avant de les chiffrer et menacent de les publier ; il s’agit-là d’une pression supplémentaire sur les victimes. Pour les entreprises touchées, les risques sont nombreux : les cybercriminels peuvent nuire à leur réputation, créer des problèmes avec les actionnaires ou bien faire en sorte qu’elles reçoivent des amendes de la part des autorités réglementaires, qui sont souvent plus conséquentes que la rançon.
Selon nos données, 2016 était une année décisive. En quelques mois à peine, le nombre d’attaques par ransomware sur les organismes a triplé. Tandis qu’en janvier 2016 nous avions enregistré un incident toutes les deux minutes en moyenne, fin septembre, l’intervalle de temps entre les attaques avaient baissé jusqu’à 40 secondes.
Depuis 2019, les experts examinent régulièrement les campagnes ciblées à partir d’une série de ransomwares de type chasse au gros gibier. Les sites personnels des opérateurs des malwares affichent les statistiques concernant les attaques. Nous avons utilisé ces données afin de faire un classement des groupes de cybercriminels les plus actifs.
1. Maze (alias le ransomware ChaCha)
Le ransomware Maze, détecté à l’origine en 2019, est rapidement devenu l’un des plus importants. En prenant en compte le nombre total de victimes, ce ransomware représentait le tiers des attaques qui avaient eu lieu cette année-là. Le groupe derrière ce ransomware a été l’un des premiers à voler les données avant de les chiffrer. Si la victime refusait de payer la rançon, les cybercriminels la menaçaient de publier les fichiers volés. La technique s’est avérée efficace et a été utilisée par la suite dans de nombreuses attaques par ransomware, dont REvil et DoppelPaymer desquels nous parlerons ci-dessous.
L’autre nouveauté, c’est que les cybercriminels ont commencé à annoncer leurs attaques aux médias. Fin 2019, Maze a parlé à Bleeping Computer de son piratage de l’entreprise Allied Universal, et l’a prouvé en envoyant quelques fichiers qu’il avait volés. Dans les conversations par mails avec les éditeurs du site, le groupe a menacé d’envoyer des spams provenant des serveurs d’Allied Universal, et a par la suite publié les données confidentielles de l’entreprise volées sur le forum de Bleeping Computer.
Les attaques du groupe Maze se sont poursuivies jusqu’en septembre 2020, lorsque le groupe a commencé à mettre fin à ses activités, mais seulement après s’en être pris à plusieurs entreprises internationales dont une banque d’État en Amérique du Sud ainsi qu’un système d’informations d’une ville américaine. Pour chacune de ces attaques, les opérateurs de Maze ont exigé plusieurs millions de dollars de la part des victimes.
2. Conti (alias le ransomware IOCP)
Conti a fait son apparition fin 2019 et a été très actif en 2020, représentant 13 % des victimes de ransomwares pendant cette période. Ses créateurs sont toujours actifs.
Ce qui est intéressant avec les attaques de Conti, c’est que les cybercriminels proposent leur aide aux entreprises ciblées en échange d’un paiement, en disant : « Nous vous donnerons des instructions pour réparer la faille de sécurité et éviter de tels problèmes à l’avenir ; nous vous recommanderons également des logiciels spécialisés dont les hackers ne sont pas fans ».
Tout comme avec Maze, le ransomware non seulement chiffre les données, mais envoie aussi aux opérateurs du ransomware des copies des fichiers qu’ils ont piratés. Les cybercriminels menacent ensuite les victimes de publier ces informations en ligne si elles ne cèdent pas à leurs demandes. Le piratage d’une école aux États-Unis a été l’une des attaques les plus médiatisées avec une demande de rançon de 40 millions de dollars. L’administration avait déclaré être prête à payer 500 000 dollars, mais qu’elle ne négocierait pas 80 fois ce montant.
3. REvil (alias Sodin, le ransomware Sodinokibi)
Les premières attaques du groupe REvil ont été détectées début 2019 en Asie. Le malware a très vite attiré l’intérêt des experts grâce à ses prouesses techniques, comme le fait qu’il utilise les fonctions d’une unité centrale de traitement (CPU) pour contourner les systèmes de sécurité. De plus, son code ressemblait à un code qui aurait été créé pour le louer.
Au total, les victimes de REvil représentent 11 %. Ce logiciel malveillant a touché presque 20 secteurs d’activité. Celui qui a eu le plus de victimes est le domaine de l’ingénierie et de la fabrication (30 %), suivi par celui de la finance (14 %), celui des services destinés aux entreprises et aux particuliers (9 %), ainsi que le secteur informatique et des télécommunications (7 %). Cette dernière catégorie représentait l’une des attaques les plus importantes en 2019 lorsque les cybercriminels ont piraté plusieurs prestataires de services informatiques et qu’ils ont distribué Sodinokibi à leurs clients.
Le groupe détient le record de la plus grande rançon jamais demandée, s’élevant à 50 millions de dollars et demandée à Acer en mars 2021.
4. Netwalker (alias le ransomware Mailto)
En prenant en compte le nombre total de victimes, Netwalker représente plus de 10 %. Ses cibles sont les géants de la logistique, les groupes industriels, les groupes énergétiques et les autres grands organismes. En 2020, en l’espace de seulement quelques mois, les cybercriminels ont reçu plus de 25 millions de dollars.
Ses créateurs semblent être bien déterminés à le faire connaître. Ils ont proposé de le louer à des escrocs isolés en échange d’une part des recettes de leurs attaques. Selon Bleeping Computer, la part du distributeur du malware pourrait atteindre les 70 % de la rançon, même si ce genre de partenariat paie généralement beaucoup moins les affiliés.
Comme preuve de leurs intentions, les cybercriminels ont publié des captures d’écran d’une somme importante de transfert d’argent. Pour faciliter le plus possible ce système de location, ils ont mis en place un site Web qui publie automatiquement les données volées quand la date limite est dépassée.
En janvier 2021, la police a saisi les ressources du Dark Web de Netwalker et a accusé Sebastien Vachon-Desjardins, un citoyen canadien, d’avoir obtenu plus de 27,6 millions de dollars grâce à ces extorsions. Ce dernier était chargé de trouver les victimes, de pirater leur système puis de déployer Netwalker. L’opération menée par les forces de l’ordre a anéanti Netwalker.
5. Le ransomware DoppelPaymer
Le dernier méchant de notre liste est DoppelPaymer, un ransomware qui représente environ 9 % du nombre total de victimes. Ses créateurs ont également laissé leur marque avec d’autres malwares, dont le cheval de Troie bancaire Dridex et le ransomware BitPaymer (alias FriedEx), aujourd’hui disparu. Ce dernier est considéré comme la version antérieure de DoppelPaymer. De ce fait, le nombre total de victimes de ce groupe est bien plus important.
Parmi les organisations commerciales touchées par DoppelPaymer, on trouve les fabricants de matériel électronique et les constructeurs automobiles, ainsi qu’une grande compagnie pétrolière latino-américaine. DoppelPaymer cible généralement les organismes gouvernementaux internationaux dont les établissements de la santé, les urgences et les services d’enseignement. Ce dernier a également fait les gros titres après avoir publié des informations concernant les électeurs du comté de Hall de l’État de Géorgie et pour avoir reçu une somme de 500 000 dollars de la part du comté de Delaware, en Pennsylvanie (tous deux aux États-Unis). Les attaques de DoppelPaymer continuent encore aujourd’hui : en février de cette année, un organisme de recherche européen a annoncé avoir été attaqué.
Comment fonctionnent les attaques ciblées
Chaque attaque ciblée sur une grande entreprise est le résultat d’un long processus, afin de trouver des vulnérabilités dans l’infrastructure, d’élaborer un scénario et de choisir les outils. Les cybercriminels pénètrent ensuite dans le réseau et déploient le logiciel malveillant à travers le réseau de l’entreprise. Les cybercriminels restent parfois à l’intérieur de ce dernier pendant plusieurs mois avant de chiffrer les fichiers et de demander la rançon.
Les seuls moyens possibles pour pénétrer dans l’infrastructure sont via :
- Des connexions réseau peu sécurisées. Les connexions RDP (Remote Desktop Protocol) vulnérables sont souvent utilisées pour déployer le logiciel malveillant que les groupes proposent sur le marché noir afin de les exploiter. Quand le télétravail s’est répandu, le nombre d’attaques est monté en flèche. C’est le mode opératoire de Ryuk, REvil et d’autres campagnes de ransomwares ;
- Les vulnérabilités des serveurs d’application. Les attaques contre les logiciels côté serveur permettent aux cybercriminels d’accéder aux données les plus sensibles. L’exemple le plus récent date de mars, quand le ransomware DearCry a mené une attaque via une vulnérabilité de type zero-day dans Microsoft Exchange. Des logiciels côté serveur peu protégés peuvent faciliter une attaque ciblée. Les serveurs VPN des entreprises présentent aussi des failles de sécurité et nous en avons vu quelques exemples l’année dernière ;
- Une exécution de type botnet. Afin de piéger encore plus les victimes et d’augmenter leurs profits, les opérateurs de ransomwares utilisent des botnets. Les opérateurs d’un réseau de zombies fournissent aux autres cybercriminels un accès à des milliers d’appareil infectés, et ces derniers cherchent systématiquement des systèmes vulnérables pour y télécharger le ransomware. C’est comme cela, par exemple, que les ransomwares Conti et DoppelPaymer se sont propagés ;
- Les attaques de la chaîne d’approvisionnement. La campagne de REvil est celle qui met le plus en évidence ce vecteur de menace : ce groupe a compromis un prestataire de services informatiques et a ensuite installé le ransomware sur les réseaux de ses clients ;
- Une pièce jointe malveillante. Les e-mails contenant des macros malveillantes dans les fichiers joints en format Word sont toujours largement utilisés pour distribuer les malwares. L’un des 5 principaux méchants, NetWalker, utilisait des pièces jointes malveillantes pour piéger les victimes: ses opérateurs envoyaient des e-mails ayant comme objet « COVID-19 ».
Comment une entreprise peut-elle se protéger ?
- Assurez une formation d'hygiène numérique. Les employés doivent savoir ce qu’est l’hameçonnage, et ne jamais cliquer sur les liens suspects dans les e-mails ou télécharger les fichiers depuis des sites douteux. Ils doivent aussi être capables de créer des mots de passe forts, de s’en souvenir et de les protéger. Assurez régulièrement des formations concernant la sécurité non seulement pour minimiser le risque d’incident, mais aussi pour limiter les dégâts dans les cas où les hackers réussissent tout de même à pénétrer dans le réseau ;
- Mettez régulièrement à jour les systèmes d’exploitation et les applications pour assurer une protection maximale contre les attaques via les vulnérabilités connues. Assurez-vous de mettre à jour les logiciels côté client et côté serveur ;
- Réalisez des vérifications de sécurité. Vérifiez également la sécurité des équipements, et gardez un œil sur les ports qui sont ouverts et accessibles depuis Internet. Utilisez une connexion sécurisée pour travailler à partir de chez vous, mais souvenez-vous que même les VPN peuvent être vulnérables ;
- Créez des sauvegardes de secours pour les données de l’entreprise. Ceci permet de réduire le temps d’inactivité et de restaurer les processus opérationnels plus rapidement lors d’une attaque de ransomware, mais aussi de se remettre des événements courants comme les défaillances matérielles ;
- Installez une solution de sécurité professionnelle qui utilise des analyses comportementales et des technologies anti-ransomware ;
- Utilisez un système de sécurité d’information capable de reconnaître les anomalies dans l’infrastructure du réseau telles que les tentatives pour sonder les ports et les requêtes afin d’accéder aux systèmes atypiques. Faites appel à des experts extérieurs si vous n’avez pas de spécialistes internes capables de surveiller le réseau.