Les attaques par déni de service distribué (DDoS) et les logiciels d’extorsion numérique (ransomware) sont deux méthodes de cyber-attaques bien rôdées. Récemment toutefois, nous avons assisté à l’apparition d’une nouvelle approche combinant des éléments issus de ces deux modes opératoires : les attaques d’extorsion par déni de service distribué (DDoS).
D’après les attaques que nous avons suivies jusqu’à présent, le processus utilisé est quasiment professionnel : dans un premier temps, la cible reçoit un email où les pirates se présentent, allant parfois jusqu’à indiquer des liens vers certains articles consacrés à leurs activités et à leurs tactiques d’extorsion.
L’e-mail indique ensuite que faute de verser une certaine somme (généralement de l’ordre de 40 Bitcoins, mais le montant peut en atteindre plusieurs centaines), une attaque DDoS de grande envergure sera lancée. Il arrive dans certains cas que l’email soit reçu après que l’attaque ai commencé, indiquant qu’elle cessera uniquement lorsque la rançon sera payée, ou que son importance sera allégée dès qu’une partie de la somme aura été réglée.
Nous nous sommes intéressés à certaines attaques qui démarrent lentement avant de monter en régime. DD4BC, la société à l’origine de ces extorsions, affirme être capable de lancer des attaques dont la bande passante peut atteindre 400 à 500 Gbits/s. Des offensives d’une telle puissance sont rarissimes, mais on sait qu’elles peuvent durer jusqu’à 18 heures, ce qui est évidemment plus que suffisant pour provoquer des dégâts importants dans n’importe quelle entreprise.
À ce stade, il semble qu’aucun secteur en particulier ne soit spécifiquement visé, mais il ressort un thème général. Toutes les cibles identifiées jusqu’à présent exécutent des transactions en ligne, qu’il s’agisse d’institutions financières ou sociétés de change, par exemple.
Nous nous sommes notamment rendu compte que l’« extorsion » proprement dite pourrait en fait constituer une diversion : en clair, pendant que le client se concentre sur l’agression et les dangers qu’elle induit, les pirates ne visent en fait qu’une application locale, en utilisant un vecteur d’attaque différent. En d’autres termes, les pirates pourraient mener des offensives au niveau des applications locales en utilisant différents moyens pour pénétrer dans l’application proprement dite. L’objectif ne serait donc pas de perturber le bon fonctionnement d’un site ou d’un service - voire de le mettre HS - mais d’accéder à une application en vue de subtiliser des informations de toutes sortes - identification, financières, personnelles ou autres.
On peut comprendre que certaines cibles estiment que l’e-mail reçu est indésirable et l’ignorent, mais ce n’est pas nécessairement la meilleure chose à faire. Certes, personne ne conseille de payer la rançon. Les cibles ont donc le choix d’atténuer l’attaque, même si les e-mails reçus indiquent en toutes lettres qu’il est inutile de tenter quoi que ce soit contre une attaque par déni de service DDoS. Et si les protagonistes prétendent que l’attaque est trop puissante, même pour les meilleures technologies, ce n’est tout simplement pas vrai.
Car il est possible de s’opposer à ce type d’agression en combinant des technologies anti-DDoS déployées sur site et sur le cloud. Une approche hybride permet en effet à une entreprise d’atténuer des attaques DDoS lancées de l’extérieur de leur infrastructure, ainsi que de faire face à des attaques initiées au niveau local contre la couche applicative.
Une attaque DDoS dont la bande passante atteint 500 Gbits/s ne peut être stoppée qu’au moyen de technologies basées sur le cloud, tandis que les attaques menées localement aux niveaux du réseau et des applications (ce qui est le cas lorsque l’attaque DDoS s’avère être une diversion) doivent être contrées par des technologies déployées sur site. En conclusion, utiliser l’une ou l’autre de ces méthodes ne suffit pas et une approche hybride est indispensable pour protéger votre entreprise contre des cybercriminels dont l’arsenal est en constant développement.