Pour gérer vos consentements :
Categories: RisquesSécurité

Cybersécurité : la menace des ransomwares au plus haut

2020, l’année de la maturité pour les ransomwares ? La dernière version du rapport que leur consacre l’ANSSI le suggère. Elle dépeint en tout cas un écosystème qui a atteint un niveau de structuration remarquable.

Cette structuration se manifeste notamment par le développement de chaînes de sous-traitance. Mais aussi par la coopération* entre certains opérateurs de ransomwares. Elle s’inscrit en toile de fond d’attaques plus rapides, plus ciblées… et tout simplement plus nombreuses. En tout cas si on se base sur le nombre de signalements à l’ANSSI : 192 en 2020, contre 54 en 2019.
L’agence n’a pas inclus, dans ses statistiques, les ransomwares qui ne chiffraient pas de fichiers. Elle n’a pas non plus tenu compte, d’une part, des codes de sabotage non distribués dans une logique lucrative. Et de l’autre, des attaques fondées sur des outils de chiffrement légitimes.

Sur la question du ciblage, l’ANSSI donne l’exemple de RansomEXX. Le nom de la victime y est codé en dur. Elle se retrouve à la fois dans l’extension des fichiers chiffrés et dans le mail à utiliser pour payer la rançon. Autre illustration : NetWalker, qui adapte le montant à la victime. DarkSide et RagnarLocker présentent eux aussi des échantillons personnalisés.

Ransomware as a service

La majorité des signalements ont porté sur des ransomwares utilisés « par affiliation » (as a service). Sodinokibi/REvil en fait partie. En échange de 30 à 40 % de la rançon, on peut bénéficier d’un code de chiffrement, d’une infrastructure de distribution, d’interfaces d’administration, de paiement et de contact, ainsi que d’un site « vitrine ».
Des hébergeurs qu’on appelle « bulletproof hosters » se sont spécialisés dans la fourniture de ces infrastructures qui doivent garantir anonymat et résilience. Cela implique des capacités d’enregistrement discret de noms de domaines et de certificats SSL, l’utilisation d’IP propres qui tournent régulièrement ou encore l’hébergement dans des juridictions hors d’atteinte des traités de coopération judiciaire.

L’ANSSI distingue cinq grands vecteurs d’infection. Il y a ceux qui sont bien établis : le phishing et les accès RDP mal sécurisés. Et ceux qui montent en puissance :

  • Points d’eau
    Visite d’un site Internet compromis qui peut entraîner la distribution d’un ransomware, d’une charge intermédiaire ou d’un kit d’exploitation.
  • Vulnérabilités
    Essentiellement dans des VPN, des logiciels de gestion à distance et des serveurs (en particulier Citrix sur l’année 2020 : DoppelPaymer, Nephilim et RagnarLocker en ont fait usage).
  • Attaques de type « supply chain ».
    Sodinokibi entre dans cette catégorie. Il a touché une vingtaine de villes au Texas en compromettant un prestataire de services informatiques.

Ransomwares : la tentation de payer

Que ce soit pour l’élévation de privilèges, la cartographie des Active Directory ou la latéralisation, les outils de test d’intrusion sont un maillon important des attaques. Les outils Windows (WMI, WinRM, PSExec…) le sont aussi. L’ensemble contribue à réduire le délai entre compromission du SI et chiffrement. Ryuk – qui dispose en plus d’une capacité de Wake-on-LAN – en est emblématique. Au 2e semestre 2020, son delta passé de quelques jours à trois heures.

Il est plus difficile de donner une estimation de ce que les ransomwares coûtent à leurs victimes… et de ce qu’ils rapportent à leurs exploitants. L’ANSSI constate, quoi qu’il en soit, que ces attaques sont d’autant plus utilisées qu’elles sont rentables. Elle souligne aussi à quel point il est parfois tentant de payer. Parfois tout simplement parce que le montant de la rançon est inférieur aux coûts de remédiation. Mais aussi, quelquefois, parce que les assurances cyber l’incitent.

Il n’est pas rare que les cybercriminels soient ouverts à la discussion quant à la rançon. DarkSide, par exemple, dispose d’un « site VIP » dédié aux entreprises de négociation. Certains la poussent. Illustration avec SunCrypt, dont les exploitants menacent les victimes de lancer des attaques DDoS à leur encontre.
La préférence pour le paiement va aux monnaies virtuelles convertibles. Certains privilégient celles réputées moins traçables, à l’image de Monero. C’est le cas de Sodinokibi, qui fait payer 10 % de plus si on règle en bitcoins.

* Le partage de code (DarkSide – Sodinokibi) et de plates-formes d’hébergement de données (Maze – RagnarLocker) sont deux aspects de cette collaboration.

Photo d’illustration © WeissenbachPR / CC BY-NC 2.0

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago