Ransomware 2.0: ce à quoi les entreprises doivent se préparer

Le Centre national de cybersécurité (NCSC) estime que les attaques de ransomware constituent l’une des plus grandes menaces dans le domaine IT. Leurs effets sont ravageurs, et pas seulement en raison des sommes réclamées aux organisations pour déchiffrer leurs données. Pour prévenir ces attaques, les experts en cybersécurité alertent en permanence sur les failles de sécurité, tandis que les entreprises les plus menacées – autrement dit, les plus lucratives pour les pirates – développent des stratégies pour mieux protéger leurs systèmes. S’en prendre à ces organisations nécessite de grands efforts de la part des criminels. Si bien qu’ils réorientent leurs attaques vers les petites entreprises et les PME. En exploitant les failles de sécurité de leurs systèmes, les hackers parviennent dans certains cas à atteindre des cibles plus lucratives via leur supply chain. C’est l’un des changements sur un marché de la cybercriminalité en perpétuelle mutation. 

Quelle est la situation actuelle du marché des ransomwares?

Jusqu’à présent, deux groupes de hackers ont dominé le marché des ransomwares. Conti, connue pour être «l’entreprise de ransomware» la plus prospère, a fait les gros titres et engrangé des recettes élevées, avant d’être officiellement dissoute au milieu de l’année dernière. Si bien que Lockbit est actuellement l’acteur le plus actif sur le marché des ransomwares. Opérant comme fournisseur de ransomware-as-a-service, le groupe se comporte comme un éditeur de logiciels et offre aux pirates la technologie et les services de backend, autrement dit tout ce qu’il faut pour une attaque réussie. Au milieu de l’année 2022, le groupe a lancé Lockbit 3.0, la version actuelle de son outil de cryptage, dont il fait activement la promotion. Le groupe a même publié un code de conduite pour sa collaboration avec ses clients criminels, qui leur indique les «choses à faire ou à éviter». Lockbit y encourage notamment les pirates à toujours voler des données, même en l’absence de cryptage. 

Qu’est-ce que cela cache? Selon une étude de Chainanalysis, les gangs de ransomware ont subi une baisse de chiffre d’affaires de 40% l’an dernier. Trend Micro estime que la raison principale est que, dans les faits, de moins en moins d’entreprises s’acquittent d’une rançon. Spécialisé dans les grandes entreprises, le groupe de pirates Conti en fait particulièrement les frais avec une chute massive de son chiffre d’affaires. De plus en plus d’entreprises ne trouvent en effet pas justifiable de payer une rançon à un groupe de ransomware, d’un point de vue moral, mais aussi en raison des conséquences juridiques et des sanctions auxquelles elles s’exposent dans certains pays. Ces évolutions poussent les cybercriminels à adopter d’autres modèles commerciaux plus prometteurs.

Fini le chantage, place au vol de données

Avec les malwares, ils disposent de tous les outils nécessaires. Grâce à eux, les pirates ne se contentent pas de pénétrer dans les systèmes de l’entreprise. Une fois les barrières d’accès contournées, ils ne rencontrent en général que peu de résistance et peuvent fouiner tranquillement. Ils commencent par enquêter sur l’organisation qu’ils ont pénétrée et sur le montant de la rançon qu’ils peuvent lui extorquer. Pour ce faire, ils se renseignent sur les revenus et la situation financière de l’entreprise. Ils essaient également de savoir dans quelle mesure ils sont déjà implantés dans le système et si la sauvegarde a pu être paralysée. En fonction de ces critères, ils décident des étapes suivantes.

Celles-ci peuvent notamment consister en une double, voire une triple extorsion. Dans le premier cas, les pirates menacent de publier les données volées de la victime ou de les vendre si la rançon n’est pas payée. Dans le cas de la triple extorsion, ils vont encore plus loin et analysent les informations pour faire chanter les clients ou les partenaires de la victime, généralement en les menaçant de publier ces informations.

Du vol de données à l’arnaque au CEO

Les données obtenues peuvent également servir à l’un des modèles d’affaires de cybercriminalité les plus efficaces: l’arnaque au CEO. Cette méthode exploite la confiance dans les supérieurs et les figures d’autorité. Les pirates se font passer pour des dirigeants et demandent aux collaborateurs de leur transférer de l’argent - un accès préalable au système de l’entreprise permet aux hackers de crédibiliser leur démarche.

L’outil potentiellement le plus puissant à l’avenir sera sans doute l’intelligence artificielle (IA). De nombreuses attaques de phishing échouent en effet jusqu’à présent à cause d’une mauvaise orthographe ou d’une mauvaise traduction culturelle. Lorsque les e-mails regorgent de fautes ou contiennent des formulations que personne n’utilise en Suisse, ils finissent dans le dossier des spams ou dans la corbeille. Avec l’IA, les criminels contournent ces difficultés. Si un membre de la direction envoie un e-mail grammaticalement et linguistiquement correct, voire un autre message en référence, il est pratiquement impossible de se méfier. 

Dans le choix de leurs outils, les cybercriminels réagissent également aux mesures prises par la communauté de la sécurité. Ainsi, depuis la décision de Microsoft d’empêcher l’exécution de macros téléchargées depuis Internet, ils misent par exemple de plus en plus sur d’autres techniques pour leur accès initial, comme l’usurpation d’adresse HTML et le malvertising.

Du plus petit au plus grand: pourquoi faut-il tenir compte de la supply chain?

Les attaques contre la supply chain ont tout pour plaire aux pirates. Ils s’infiltrent dans le système d’une petite entreprise, s’approprient ses processus de gestion et s’attaquent par ce biais à ses clients. L’attaque contre 3CX, un fournisseur de Voix sur IP, en est un exemple récent. L’attaque a été menée via l’infrastructure de développement du fournisseur, le malware étant ainsi livré au sein d’une application officielle et certifiée. Les pirates sont ainsi parvenus à infecter plusieurs milliers d’entreprises dans le monde entier. 

L’incident de 3CX montre clairement combien il est important de sécuriser la supply chain, même pour les petites et moyennes entreprises. Dans l’UE, l’ampleur des dommages causés par de telles attaques est désormais prise en compte. Avec la nouvelle directive européenne NIS2, les exploitants d’infrastructures critiques devront à l’avenir mieux se protéger. Les entreprises participant à leur supply chain seront également davantage mises à contribution pour minimiser le risque d’attaques. Cette directive concerne donc aussi indirectement les entreprises suisses si elles agissent en tant que fournisseurs pour des entreprises réglementées en conséquence dans l’UE. 

Ces dernières années, la cybercriminalité est devenue un véritable secteur économique. Pour préserver leur rentabilité, les pirates améliorent régulièrement leurs modèles d’affaires et élargissent leur portefeuille. Les ransomwares et les modèles d’extorsion numérique sont donc en pleine mutation. Pour continuer à être protégées au mieux, les entreprises doivent surveiller ces évolutions et y réagir de manière appropriée.