Les rançongiciels, une arme en constante évolution

Les rançongiciels ou ransomwares sont des logiciels malveillants qui ont pour but de prendre en otage les données de l’utilisateur en les chiffrant afin de demander une rançon. Bien que le premier rançongiciel soit apparu en 1989, leur évolution s’est accélérée dès 2012 avec l’émergence des cryptomonnaies qui facilitent le paiement de la rançon avec des méthodes de mixage de crypto-monnaie permettant de brouiller leurs provenances.

Depuis 10 ans, les rançongiciels ont fortement évolué, qu’il s’agisse des attaques utilisées, des cibles ou de leur modèle économique.

Les rançongiciels, une image de marque à défendre

La création de services

Dans un premier temps, les pirates informatiques développaient leur propre rançongiciel, le diffusait et récupérait la rançon après paiement de la victime. C’est par exemple le cas de WannaCry.

Cependant depuis 2016, la tendance se porte principalement sur la création de Ransomware as a Service (RaaS). Elle s’inspire du principe de fonctionnement des Softwares as a Service (SaaS). Ils sont développés par un groupe qui les fournit à des attaquants (appelées « partenaires » par les groupes cybercriminels) en échange d’un abonnement ou d’une part de la rançon.

Cela permet aux développeurs de ces virus de se concentrer uniquement sur le développement de ceux-ci et de réagir plus rapidement en cas de correctif de vulnérabilité, de la même manière cela facilite également le travail des attaquants qui n’ont parfois besoin d’aucune connaissance technique pour mener à bien leurs méfaits.

Défendre sa réputation et ses services

Cette organisation en société de service a également d’autres implications comme l’image de marque du groupe de cybercriminels. En effet, pour apparaître comme fiable le développeur de rançongiciels a tout intérêt à déverrouiller la machine de la victime si la rançon est payée, et de préférence avec un algorithme de déchiffrement rapide bien que cela ne soit pas toujours vérifié comme avec le cas de l’attaque envers Colonial Pipeline.

Toujours pour apparaître comme fiables, les RaaS proposent pour leur immense majorité un service client disponible en permanence que ce soit pour négocier le montant de la rançon ou pour les aider dans le paiement et le déverrouillage de leurs fichiers.

Enfin, les éditeurs de rançongiciels proposent généralement des assurances, des réductions si le nombre de sociétés contaminées (nommées « clients » par les éditeurs de rançongiciel) est conséquent. Il est cependant important de rappeler que ces assurances ne permettent pas de se protéger des rançongiciels, le coût de la rançon n’étant généralement qu’une fraction du coût réel pour l’entreprise qui doit faire face à la disruption de ses systèmes. Également, en raison de la forte croissance des attaques de ce type, le coût supplémentaire d’une assurance cyber qui prend en charge la rançon subit lui aussi une nette augmentation.

Des rançongiciels à la double voire triple-extorsion

Une autre évolution a été observée : l’émergence de la double-extorsion, alors que les premiers rançongiciels avaient simplement pour objectif de nuire à la disponibilité des données. La double-extorsion est désormais monnaie courante, elle consiste à chiffrer mais également exfiltrer les données en vue de les divulguer si la rançon n’est pas payée ; il n’est donc plus seulement nécessaire d’effectuer une simple sauvegarde des fichiers mais également de chiffrer les éléments sensibles et assurer une véritable défense en profondeur des systèmes d’information.

Depuis peu, des groupes se tournent même vers une technique de triple-extorsion qui consiste, en plus de la double-extorsion détaillée précédemment, à effectuer une attaque par déni de service pour nuire à la disponibilité de l’ensemble du service et donc à accentuer la pression sur les entreprises.

L’ascension et la chute du « big game hunting »

De l’ascension

Le « big game hunting », dérivant de la chasse au gros gibier, consiste à prendre en chasse des cibles imposantes. La pratique est similaire pour les cybercriminels qui ont à partir de 2018 commencé à cibler un nombre plus faible de victimes mais de taille beaucoup plus importante. Leur objectif : maximiser la rançon qu’ils pouvaient récupérer. Cette évolution s’est donc accompagnée d’attaques plus développées avec notamment une course à la recherche de nouvelles vulnérabilités (0-day) par les attaquants et le patching en urgence de la part des éditeurs de logiciels. Les attaques peuvent également s’effectuer avec du spear phishing, qui est une variante du phishing où l’attaquant se renseigne sur sa victime afin de faire une attaque ciblée et donc plus efficace.

A la chute

Cependant, on constate un changement de tendance depuis l’attaque menée contre Colonial Pipeline. Cette attaque dirigée par le groupe Darkside menaça l’approvisionnement en pétrole de la côte Est étasunienne. Celle-ci a eu une couverture médiatique si importante qu’elle fit craindre à une pénurie. Paradoxalement cette peur entraîna la population à faire le plein d’essence vidant ainsi les réserves. Bien que la visibilité apportée au groupe de cybercriminel puisse lui paraitre bénéfique au vu du modèle économique en SaaS, cette action entraîna une déclaration officielle de Joe Biden ainsi qu’une enquête du FBI. En réponse, le groupe DarkSide fit un communiqué officiel en affirmant : 

« Our goal is to make money, and not creating problems for society ».

Le groupe a pris ses distances par rapport à l’attaque et a également annoncé la mise en place d’une modération afin de vérifier avec leurs « partenaires », les « clients » qu’il est acceptable de cibler.

Depuis cette attaque, on constate un revirement dans l’utilisation des rançongiciels qui s’est recentrée sur les sociétés de taille moyenne, une autre évolution afin de récupérer des montants importants tout en faisant profil bas.

Écrit par Romain Felgines.