MELANI: recrudescence de cyberattaques avec une demande de rançon

Depuis janvier 2016, la Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI constate une recrudescence des cyberattaques accompagnées d'une demande de rançon. Ces attaques ont pour but de soutirer de l’argent soit en rendant les données inutilisables pour la victime, généralement en les chiffrant à l'aide d'un rançongiciel, soit par le biais d'une attaque par déni de service distribué (DDoS), qui vise à surcharger le serveur et rendre les services online de l’organisation inaccessibles. La victime est ensuite contrainte de verser une rançon. Dans son 23e rapport semestriel, MELANI présente les principaux cyber-incidents du premier semestre 2016 en Suisse et à l’international.

Le boom des «copycats»

MELANI constate que les attaques avec demandes de rançons sont si profitables «qu’elles suscitent malheureusement de nombreuses vocations», en soulignant l’explosion des «copycats». Dans le domaine des attaques DDoS, les nouveaux agresseurs imitent alors les dépositaires du modus operandi d’origine, à savoir les groupes DD4BC et Armada Collective. Suite à l’arrestation de deux membres de DD4BC6 par Europol en début d’année, aucune attaque perpétrée par les groupes Armada Collective ou DD4BC originaux n’a été observée. Sauf que d’autres groupes empruntant en partie les mêmes méthodes sont par la suite entrés en scène. Ils ont opéré entre mars et juin sous les noms de RedDoor, NGR Squad, Gladius et Kadyrovtsy, soit des «copycats». «Mais le phénomène le plus marquant des six premiers mois de l’année est l’apparition de groupes purement opportunistes, empruntant le nom d’Armada Collective pour diffuser des courriels de chantage en menaçant de mener des attaques DDoS», écrivent les auteurs.

En réalité, ces groupes n’ont ni la capacité ni l’intention de mener ce type d’attaques, même à des fins de démonstration, précise le communiqué. Ils cherchent uniquement à profiter de la crainte suscitée par ce groupe pour récolter de l’argent.

Fait cocasse: face à ce mouvement de «copycat», une personne se réclamant du groupe Armada Collective a écrit à MELANI pour se plaindre de l’usurpation éhontée de la marque Armada Collective. Pour prévenir ce type d’attaques, les auteurs du rapport demandent de constamment partager les informations et le signalement des incidents.

Forte augmentation de l’utilisation des rançongiciels

La menace due aux chevaux de Troie chiffrant les données a augmenté durant la période sous revue, avec un modus operandi efficace, informe MELANI. Dans bien des cas, le message est censé provenir d’une institution connue et digne de confiance. Ainsi, en janvier 2016, il était question d’une vague de courriels diffusant le rançongiciel TorrentLocker. Le courriel frauduleux indiquait au destinataire qu’une plainte avait été déposée contre lui et qu’il était convoqué au tribunal pour une audience. Pour en savoir plus, le destinataire devait cliquer sur un lien et télécharger des documents. «Les escrocs misaient ici non seulement sur la bonne réputation d’une autorité, mais aussi sur la peur et l’insécurité des gens», notent les auteurs.

D’autres méthodes consistent à mettre l’accent sur les intérêts et les besoins de la victime, ou à gagner sa confiance. En mai dernier, en Suisse, des victimes spécialement choisies ont reçu des courriels contenant des postulations spontanées. Pour accéder au dossier complet, les destinataires devaient cliquer sur un lien Dropbox conduisant directement à Petyav et Mischa, deux chevaux de Troie chiffrant les données. «Le maliciel Locky, qui continue de sévir tant en Suisse qu’à l’étranger, se dissimule derrière des postulations spontanées en apparence inoffensives», alerte MELANI.

Les hôpitaux deviennent des cibles privilégiées

La vague de ransomwares observée depuis le début de l’année touche aussi des infrastructures critiques. Ces derniers temps, les hôpitaux ont fait partie des cibles privilégiées des criminels. «Avec la numérisation, le fonctionnement du service informatique d’un hôpital devient lui aussi crucial pour le traitement des patients.» Plusieurs cas d’hôpitaux en Allemagne et aux États-Unis ont été publiés au premier semestre 2016.

Dans le cas du Kansas Heart Hospital, les escrocs n’ont pas libéré tous les fichiers et ont demandé à ce qu’une deuxième rançon soit payée. «Les criminels savent qu’un hôpital doit pouvoir réagir rapidement et ne peut plus, dans certains cas, se passer de son infrastructure informatique pour sauver une vie humaine. Ces institutions peuvent donc devenir des cibles de prédilection.

Les auteurs observent que les services informatiques des hôpitaux manquent de moyens  ou de compétence technique pour mettre à jour ces systèmes spécifiques. La numérisation des données des patients éveille aussi la convoitise des hackers. En effet, le dossier de patient d’une personne précise peut devenir une cible, à des fins d’espionnage ou de sabotage. Selon MELANI, «il s’agit dès lors de se demander ce qui doit figurer dans les dossiers de patients, compte tenu des risques de la numérisation, et afin de minimiser les risques.» De plus, l’institution demande davantage de collaboration avec les fournisseurs de matériel de sécurité.