Ransomware: les pirates fréquentent-ils les business schools?
Nouvelles cibles indirectes, nouvelles techniques pour passer incognito, nouveaux partenaires de diffusion, nouvelles sources de revenus - les groupes de hackers exploitant des ransomware ne cessent d’innover dans leurs modèles d’affairess, constate la centrale Melani dans son dernier rapport.
Les sociétés de cybersécurité parlent souvent de la professionnalisation croissante des pirates. Le dernier rapport de Melani l’illustre parfaitement dans son analyse des attaques par ransomware. Au total, 42 cas d’attaques lancées contre des entreprises ont été signalés à la centrale au premier semestre. Des attaques en recrudescence et sont souvent de notoriété publique en raison de la paralysie des opérations qui s’ensuit. Rien que cette année, ICTjournal s’est fait l’écho d’attaques par ransomware contre Bouygues en février, Honda et le suisse Stadler Rail en juin, Canon en août ou Sopra Steria la semaine dernière.
Les pirates augmentent leurs attaques et affûtent donc de plus en plus leurs techniques: exploitant de nouvelles vulnérabilités et modes de propagation, ciblant de nouveaux types d’organisation et recourant à de nouveaux moyens d’extorsion. En d’autres termes, les pirates innovent en permanence dans leurs offres et ressources, leur clientèle, leurs canaux et leur flux de revenus - leur modèle d’affaires pour faire simple.
Nouvelles techniques pour passer incognito
En matière de techniques d’attaques, Melani relève ainsi le cas du ransomware RagnarLocker, qui installe sa propre machine virtuelle Windows XP de 280 Mo (camouflant un exécutable d’à peine 50 Ko), afin de ne pas être détecté par les programmes de surveillance de l’ordinateur hôte durant ses investigations. Ou NetWalker qui use d’un mode «sans fichier», le malware étant écrit en PowerShell et exécuté en mémoire, si bien que son code n’est jamais dans sur le disque dur.
Nouvelles cibles: les prestataires de services managés
La centrale Melani constate une recrudescence des attaques contre des fournisseurs de services d’infogérance, notamment avec le ransomware Ryuk. C’est ce dernier qui aurait été employé contre Sopra Steria, mais aussi contre la société londonienne Finastra. L’an dernier, les géants de l’outsourcing Wipro et Cognizant avaient également subi des attaques. «L’infection d’un MSP ou d’un fournisseur de services basés sur le cloud a le potentiel de causer d’énormes dégâts, en donnant accès aux pirates à toutes les entreprises dont ledit prestataire exploite l’infrastructure informatique», relève Melani.
Nouveaux partenaires de distribution
Par ailleurs, les pirates tendent de plus en plus à s’associer à des partenaires spécialisés dans la diffusion des ransomware et qui touchent une commission lors du paiement de la rançon. D’autres associations permettraient de se répartir certaines phases de l’attaque. Melani signale le cas du groupe Maze qui a publié des données dérobées par un autre groupe exploitant LockBit. Depuis ce printemps, les opérateurs de NetWalker organiseraient un réseau de partenaires de propagation via un blog clandestin.34
Nouvelles sources de revenus
Last but not least, la centrale Melani relève que les pirates trouvent d’autres sources de revenus. Non content de chiffrer les données, ils les téléchargent au préalable et menacent de les publier. Et si l’entreprise ne s’acquitte pas de la double-rançon, les données sont parfois vendues aux enchères, à l’instar des documents d’un cabinet d’avocat américain comptant des stars parmi ses clients.
