Selon le Centre national de cybersécurité (NCSC) du Royaume-Uni, les ransomwares représentent la menace qui pèse le plus actuellement sur les entreprises du monde entier. L'époque où ils ciblaient une seule machine et tentaient d'extorquer un utilisateur en lui volant ses données est révolue. La menace est organisée et sophistiquée, grâce à une technologie qui s'est démocratisée au point que le ransomware est devenu une véritable industrie.
Certains opérateurs de ransomware ciblent les MSP (fournisseurs de services managés) avec des attaques de la chaîne d'approvisionnement qui ont un impact sur des milliers d'entreprises. D'autres, tels que les groupes APT (advanced persistent threat), s'attaqueront à des cibles spécifiques pour déstabiliser des gouvernements ou exploiter des données à forte valeur ajoutée pour extorquer de grandes sommes d’argent. L'année dernière aux États-Unis, l'agence de cybersécurité et de sécurité des infrastructures (CISA) a observé des incidents de ransomware qui ont touché 14 des 16 secteurs d'infrastructures essentielles des États-Unis, notamment la défense, l'alimentation et l'agriculture, les services gouvernementaux et même les services d'urgence. Le centre Australien de cybersécurité (ACSC) a récemment signalé que ses infrastructures clés étaient continuellement ciblées par des opérateurs de ransomware, allant jusqu'à publier une mise en garde commune avec les États-Unis et le Royaume-Uni pour avertir de la menace croissante sur les entités gouvernementales et les entreprises privées.
Dans le rapport 2022 sur la Cyber sécurité, il est révélé une augmentation de 50 % des cyberattaques d'une année sur l'autre en 2021, soit 1 organisation sur 61, dans le monde, impactée par un ransomware chaque semaine. C'est le secteur de l'éducation et de la recherche qui a subi la plus forte augmentation (75%), avec une moyenne de 1 605 cyberattaques par semaine au cours de l'année. Cette forte hausse pourrait, du moins en partie, être attribuée au fait que les entreprises soient plus vulnérables en raison de leur passage à des modèles de travail hybrides en réponse à la pandémie. Mais la cause la plus probable reste l'économie croissante du « Ransomware-as-a-Service » (RaaS), où les groupes de ransomware et leurs partenaires proposent et commercialisent des ransomwares prêts à l'emploi à des clients qui lancent ensuite les attaques. Ces grands opérateurs de ransomware ne se contentent pas de proposer le ransomware, mais offrent souvent des services de blanchiment d'argent, des spécialistes de la négociation et même des instructions détaillées, comme le prouve le « guide » de Conti qui a récemment été divulgué. Cette démocratisation de la cybercriminalité a créé une véritable filière des ransomwares, où la concurrence stimule l'innovation comme dans tout secteur légal.
Cependant, grâce aux efforts des chercheurs et des spécialistes de la sécurité, ainsi qu'aux gouvernements du monde entier qui renforcent désormais leurs dispositifs de cybersécurité et adoptent une approche plus proactive, on commence à voir apparaître des fissures dans l'écosystème des ransomwares.
L'attaque du Colonial Pipeline a-t-elle été le point de bascule ?
Les attaques modernes de ransomware se caractérisent notamment par l'ampleur des dégâts qu'elles peuvent provoquer dans le monde réel, qu'il s'agisse de paralyser le service national de santé britannique ou de semer le Erreur ! Référence de lien hypertexte non valide. au sein du ministère américain de la sécurité intérieure. Le succès d'une attaque par ransomware n'a jamais été aussi bien compris que celui de l'attaque contre Colonial Pipeline en 2021. L'un des plus grands exploitants de pipelines aux États-Unis, Colonial Pipeline fournit près de 45 % du carburant de toute la côte Est. Qu'il s'agisse de chauffer des habitations et des entreprises ou d'alimenter les voitures, les avions et même les forces armées. Les opérateurs de ransomware DarkSide ont profité d'une vulnérabilité apparemment non corrigée dans le système de Colonial Pipeline, obligeant la société à désactiver certains systèmes afin de contenir la menace. Le coût du carburant a explosé, il y a eu des achats de panique et les secteurs de l'aviation et de l'armée auraient pu être gravement touchés si la situation n'avait pas été corrigée une semaine plus tard.
Cette attaque a semblé être la goutte d'eau qui a fait déborder le vase pour l'administration Biden, qui a annoncé peu après l'incident que les bourses de crypto-monnaies telles que SUEX, basée en Russie, seraient sanctionnées, empêchant ainsi les acteurs du ransomware de rentabiliser leurs attaques. Cela semble être le début d'une série d'événements qui ont finalement conduit à la formation de fissures dans l'écosystème des ransomwares, et la preuve - s'il en fallait une - qu'adopter une approche proactive plutôt que corrective est le moyen le plus efficace de lutter contre la cybercriminalité.
Aux États-Unis, les ransomwares sont désormais considérés par le ministère de la Justice comme une menace de sécurité nationale. L'Union européenne et 31 autres pays dans le monde les ont rejoints pour sanctionner les échanges de crypto-monnaies et perturber ainsi les activités des opérateurs de ransomware. En Australie, un nouveau « Ransomware Action Plan » a été établi, conférant aux organisations et aux institutions gouvernementales plus de pouvoir et de capacités pour s'attaquer directement aux ransomwares. Ces mesures montrent à quel point la position des gouvernements du monde entier en matière de sécurité a changé, de la réactivité à la proactivité, et les entreprises feraient bien de faire de même.
Tourmente dans l'écosystème des ransomwares
Comme pour tout fournisseur de services, la réputation est essentielle. Les groupes RaaS ont besoin de séduire des partenaires ou des clients pour développer leur réseau et multiplier leurs revenus. Toute perturbation infligée à ces groupes peut donc entraîner des conséquences majeures et même retourner le secteur contre lui.
Comme le révèle le rapport 2022 sur la Sécurité, un mois après l'attaque de Colonial Pipeline, le groupe DarkSide responsable a annoncé qu'il mettait fin à ses activités après la saisie de ses serveurs et le vol de ses fonds cryptographiques. Cela a eu un impact sur leur capacité à payer leurs partenaires RaaS. Le groupe REvil, responsable de la faille Kaseya MSP en juillet 2021, a également disparu plus tard dans l'année après qu'une intervention des autorités de police ait réussi à contrôler son infrastructure et son blog, rendant au groupe la monnaie de sa pièce. Le ministère de la Justice est allé encore plus loin, a arrêté des membres du groupe REvil et a saisi plus de 6 millions de dollars de rançons.
Mais que signifie cette évolution pour l'écosystème des ransomwares ?
Certains des groupes responsables de ces attaques exercent désormais une pression supplémentaire sur leurs victimes pour que les autorités soient tenues à l'écart lors des attaques. Le groupe de ransomware Grief, par exemple, a menacé de supprimer complètement les clés de décryptage de ses victimes si elles engageaient des négociateurs professionnels. Par ailleurs, ce ciblage proactif des opérateurs de ransomware a conduit une multitude d'opérateurs et de partenaires à quitter l'arène ou à se séparer les uns des autres et à « changer de marque » pour éviter toute inculpation ou saisie. Après la fermeture de DarkSide, par exemple, plusieurs membres ont formé un groupe dissident appelé BlackMatter, qui a lui aussi subi la pression des autorités et a fermé ses portes avant la fin de l'année.
Cette perturbation de l'écosystème des ransomwares n'est pas un cas isolé, mais le résultat d'une pression croissante des agences gouvernementales mondiales pour endiguer ce qui est en train de devenir rapidement une menace globale. Néanmoins, les organisations ne devraient pas trop baisser la garde.
Pas encore sortis d'affaire
Bien que 2021 ait porté un coup significatif à l'écosystème des ransomwares, nous risquons encore de voir des millions d'attaques de ransomwares tout au long de l'année 2022, avec des nouveaux opérateurs et des partenaires affiliés qui existent déjà et intensifient leurs efforts. Emotet, l'un des botnets les plus dangereux de l'histoire, a fait son retour fin 2021, malgré un effort coordonné des gouvernements du monde entier pour le faire disparaître. Ce trojan bancaire issu d'un botnet modulaire a infecté 1,5 million d'ordinateurs dans le monde sur des milliers de réseaux d'entreprise, souvent utilisés comme vecteur de diffusion pour des attaques de ransomware à l'échelle du réseau.
Les organisations doivent donc rester vigilantes et, à l'instar des gouvernements de tous les pays, adopter une attitude plus proactive et préventive face à la menace croissante des ransomwares. Cela implique d'exploiter les renseignements sur les menaces mondiales en temps réel, et de les utiliser pour protéger les entreprises non seulement des menaces visibles, mais aussi de celles que l’on ne voit pas. Les vulnérabilités Zero-day et les attaques de dernière génération sont des menaces complexes qui nécessitent une réponse complexe, ainsi qu'une sensibilisation des employés, des sauvegardes continues, une authentification multifactorielle et le recours au principe du moindre privilège.
Les fissures dans l'écosystème des ransomwares commencent peut-être à se faire sentir, mais bien que les coups récemment portés indiquent que les acteurs des ransomwares pourraient être en train de perdre la bataille, la cyberguerre est loin d'être terminée.