La menace Ransomware n’est pas nouvelle. Mais, éclipsée quelques temps par le cryptojacking qui surfait sur la vague des cryptomonnaies, elle est revenue en force depuis 2018. Elle a évolué et s’est professionnalisée.

Fini les attaques massives et indiscriminées ciblant particuliers et entreprises (petites et grandes). Certains groupes se sont spécialisés dans le Ransomware-as-a-Service (RaaS) puis dans les attaques ciblées. Au lieu de demander 300 euros à des millions de victimes, pourquoi ne pas demander 300 000 euros de rançon à une entreprise mal sécurisée, n’ayant pas de sauvegardes de ses données, fortement dépendante de son informatique pour ses activités de production et qu’on a réussi à paralyser complètement ?

Le « Big Game Hunting » est devenu la norme depuis 2 ans et de nombreuses et très diverses organisations comme Altran, l’Université de Maastricht, le CHU de Rouen ou encore NorskHydro ont été victimes de ces groupes cybercriminels fortement motivés, bien organisés et techniquement compétents (même si malheureusement, ils ne font que s’adapter à la faiblesse du niveau de cybersécurité qu’ils peuvent rencontrer...).

Ces attaques sont assez sophistiquées dans le sens où elles nécessitent des actions « manuelles » de la part des attaquants qui vont tout faire pour compromettre la plus grande partie du système d’information de leurs victimes et notamment le cœur de leurs réseaux informatiques (notamment leurs Active Directory) pour ensuite déployer au maximum leur ransomware.

source : ANSSI

Pour arriver à leurs fins, ces groupes utilisent tous les moyens possibles pour s’introduire dans les systèmes de leurs victimes : exploitation de vulnérabilités connues mais non corrigées dans des systèmes de VPN ou sur des serveurs exposés sur Internet, accès à distance (RDP) peu ou pas sécurisés (ou achetés sur des marchés noirs où se revendent des accès à des serveurs déjà compromis), e-mail malveillant (Emotet / TrickBot), compromission d’un sous-traitant (infogérant, par exemple).

source : https://www.coveware.com/

Et maintenant le chantage à la divulgation de données

Fin 2019, nous avons pu observer un changement de tactique de certains groupes spécialisés dans l’emploi de ransomware pour extorquer leurs victimes. Plus qu’un changement, ils ont fait évoluer leurs modes opératoire sen ajoutant un nouveau moyen de pression à leur demande de rançon : les leaks.

Si, dans le passé, les ransomwares se contentaient de chiffrer le maximum de données et de paralyser les infrastructures informatiques de leurs victimes, désormais ils exfiltrent un maximum de données internes depuis les réseaux informatiques compromis de leurs victimes, avant de chiffrer ces mêmes données. Cela leur offre un deuxième levier de chantage pour « motiver » leurs cibles à payer d’énormes rançons.

En effet, si l’entreprise ou l’administration touchée décide de ne pas payer immédiatement, les attaquants menacent alors, en privé puis publiquement, via des sites spécialement créés pour l’occasion de divulguer des données internes à l’organisation. Ces sites web proposent des échantillons de données exfiltrées pour mettre la pression sur les victimes et en leur rappelant que payer la rançon sera peut-être moins onéreux que l’amende liée au RGPD qu’elles risquent d’être amenées à recevoir si des données à caractère personnel sont divulguées publiquement (la double peine...).

Certains groupes comme Maze / TA2101 (les premiers à avoir fait évoluer leurs TTPs sur ce sujet) publient même des communiqués de presse pour mettre encore plus de pression et divulguer des détails (non confirmés) sur des négociations potentielles entre victimes & attaquants.

source : bleepingcomputer.com

Une fatalité ?

Non, être victime d’un ransomware ciblé n’est pas une fatalité. Les modes opératoires de ces groupes sont bien connus et analysés depuis plusieurs années déjà. Si toute organisation peut être compromise via une vulnérabilité non patchée dans les temps ou d’identifiants par défaut ou faibles, cela n’excuse pas de ne pas détecter toutes les autres actions "manuelles" (souvent bruyantes) réalisées avec des outils connus, par des attaquants qui s’installent au cœur de leurs systèmes d’information.

Mais combien d’entreprises s’en sont souciées réellement ? Combien disposent d’équipes dédiées et de moyens efficaces de surveillance de leurs réseaux informatiques pour détecter en amont ce risque d’être totalement compromis, de voir des gigaoctets de données internes exfiltrées et enfin être « ransomwarisé » ?

Malheureusement, même les plus grandes entreprises ne sont pas toujours préparées face aux techniques, bien connues, utilisées par ces groupes adeptes du « Big Game Hunting ».

Alors quoi faire ? Cela fera l’objet d’un prochain billet mais si vous voulez en savoir plus, je vous conseille de lire cet excellent article de Microsoft qui revient sur ce sujet et propose également des pistes pour détecter et se protéger de ces menaces.

Pour aller plus loin :