Ransomware : la menace de divulgation en plus du chiffrement
De premiers cas de ce type ont commencé à apparaître. Le début d’une tendance de fond pour 2020 avec la menace d’une double peine pour les victimes dans certaines régions du monde ?
La ville de Johannesburg en a fait les frais durant l’été : un ransomware dont les opérateurs ne se contentent pas de chiffrer les données ; en plus de cela, ils menacent d’en divulguer certaines dérobées au passage. De quoi, pour les cybermécréants, renforcer leurs chances de monétisation de leurs méfaits : l’éventuelle restauration de données à partir de sauvegardes ne permet pas d’échapper au second volet de la menace.
Pour certaines organisations, soumises à des contraintes telles que le règlement général européen de protection des données (RGPD), cela peut n’avoir rien d’anodin : car pas question de s’exonérer de sa responsabilité sur les traitements et les données personnelles concernées. La perspective d’une véritable double peine, en somme.
Et la pratique pourrait bien s’avérer de plus en plus répandue. Les équipes de Sophos viennent ainsi de se pencher sur Snatch, un rançongiciel qui contourne les protections installées sur les postes contaminés en forçant leur redémarrage en mode sûr, avant d’entamer son processus de chiffrement. Selon les chercheurs de l’éditeur, il s’agit d’une nouveauté récente apportée à un maliciel utilisé depuis l’été 2018. Mais ce n’est pas tout.
Snatch embarque aussi un composant dédié au vol de données, un reverse-shell baptisé à partir de Cobalt Strike et d’autres outils « publiquement disponibles qui ne sont pas intrinsèquement malicieux ». Et pour l’éditeur, cela n’a rien d’anodin : ce composant « a [été utilisé pour] dérober de vastes quantités de données aux organisations visées ».
Selon Sophos, des victimes ont été trouvées en Amérique du Nord et en Europe, notamment. Surtout, toutes les organisations concernées avaient un point commun : « un ou plusieurs ordinateurs exposant un service RDP sur Internet ». Un risque sur lequel l’alerte ne manque pas d’être régulièrement relancée.
Dans ses prédictions pour l’année à venir, Kaspersky entrevoit d’ailleurs une adoption croissante de la pratique consistant à chiffrer les données d’une part, tout en en dérobant et menaçant de divulguer ces dernières. Chez FireEye, David Grout apparaît sur la même ligne : « il est clair que des groupes motivés financièrement tels que FIN6 ou FIN7 vont continuer et certainement générer une multitude de suiveurs qui trouveront là [dans l’extorsion, N.D.L.R.] une source rémunératrice pour leurs activités ».
Et selon les chiffres de Coveware, spécialiste des services de gestion des incidents liés à des ransomwares – jusqu’au paiement de la rançon –, la menace continue de rapporter, et même de plus en plus. Au troisième trimestre, le montant moyen de la rançon s’établissait à plus de 42 000 $ contre près de 36 300 $ au trimestre précédent. Et les dégâts ne sont pas négligeables : il faut compter 12,1 jours d’interruption d’activité en moyenne.
Ryuk, Sodinokibi et Phobos s’inscrivent en tête des menaces traitées par les équipes de Coveware, le premier conduisant aux montants les plus spectaculaires : jusqu’à plus de 370 000 $… Les cyberdélinquants distribuant Phobos apparaissent préférer viser les services RDP exposés, quand ceux s’appuyant sur Ryuk apparaissent miser plutôt sur le phishing par courriel ; ces deux vecteurs s’imposant devant tout autre pour les infections.
Les observations de Coveware font ressortir les services professionnels, le secteur public, la santé, et les services logiciels en tête des domaines d’activité visés au troisième trimestre 2019, le second enregistrant une progression considérable par rapport au deuxième trimestre de l’année. Pour le prestataire, la situation ne devrait pas franchement s’améliorer rapidement : « tant que ces organisations ne seront pas capables de dimensionner correctement leurs budgets et leurs équipes de sécurité IT, ces attaques vont certainement continuer ».