by-studio - Fotolia
Ransomware : pourquoi la menace peut encore s’aggraver
Le début de l’année a été clairement explosif sur le front des rançongiciels en France. Les chiffres de l’Anssi et de la plateforme Cybermalveillance le soulignent. Surtout, le temps ne semble pas à l’accalmie.
L’Agence nationale pour la sécurité des systèmes d’information (Anssi) et la Direction des Affaires criminelles et des grâces (DACG) du ministère de la Justice viennent de publier un guide visant à sensibiliser les entreprises et les collectivités à la menace de représentent les rançongiciels.
Et il semble qu’il y ait plus qu’urgence : depuis le début de l’année, l’Anssi indique avoir traité 104 attaques de ransomwares, contre 54 sur 2019 dans son ensemble. Et l’agence de souligner que « ces chiffres ne fournissent pas une vision exhaustive de l’actualité des rançongiciels affectant le territoire national ». Une évidence, comme nous le fait remarquer le CERT de Capgemini sur Twitter – « il faut compter toutes [les attaques] qui sont traitées par des équipes CERT hors Anssi » – mais aussi la confirmation du fait que les cas connus, voire médiatisés, ne représentent qu’une fraction des cyberattaques avec ransomware. Et pourtant, ne serait-ce que pour la France, la liste des incidents connus peut déjà paraître bien longue.
Du côté de la plateforme Cybermalveillance.gouv.fr, le directeur général du GIP Acyma, Jérôme Notin, fait état de 1 082 signalements de ransomware à ce jour, depuis le lancement de la plateforme le 4 février, avec 44 % d’entreprises ou d’associations et 10 % d’administrations ou collectivités. Las, plusieurs éléments convergent pour laisser à penser que la vague est loin d’être passée.
La publication de ce guide par l’Anssi et la DACG constitue un premier indice : elle n’aurait qu’assez peu de raisons d’être, si l’agressivité des cyberdélinquants apparaissait sur le déclin. Manifestement, il y a là un effort des autorités pour éviter que l’automne ne soit pire qu’un printemps qui l’était déjà lui-même sensiblement par rapport à la fin 2019.
Trop de systèmes vulnérables
Second indice : certains messages semblent encore avoir du mal à passer, laissant des avenues grandes ouvertes aux assaillants. Cela commence avec l’application des correctifs, tout particulièrement pour certains équipements sensibles. Le moteur de recherche spécialisé Onyphe recensait récemment encore, pour les entreprises du classement Fortune 500, 15 systèmes Citrix Netscaler Gateway affectés par la vulnérabilité CVE-2019-19871 exposés sur Internet, mais aussi 659 Cisco ASA concernés par la CVE-2020-3452, tout de même 5 serveurs VPN Pulse Secure, ou encore près de soixante systèmes SAP touchés par la vulnérabilité CVE-2020-6287.
Nous-mêmes avons, durant l’été, observé un groupe touché par une cyberattaque de rançongiciel ayant exposé un système affecté par l’une de ces vulnérabilités, malgré des notifications et des relances durant plusieurs semaines. Et c’est sans compter avec les services RDP accessibles en ligne sans authentification sur la couche réseau (NLA). Autant de portes d’entrée sans même parler du hameçonnage.
Les attaques par ransomware actuelles, et plus généralement la cybercriminalité financière, empruntent largement aux APT, soulignait début février dans nos colonnes, Ivan Kwiatkowski des équipes de recherche et d’analyse de Kaspersky. Concrètement, cela veut dire que l’attaque s’étend largement en profondeur dans le système d’information, jusqu’à l’obtention de privilèges dignes d’un administrateur et donnant un accès très vaste aux données de l’entreprise compromise.
Pivoter d’une cible à l’autre
Cela fait émerger un premier risque : celui d’une propagation – immédiate ou postérieure – de l’attaque à des tiers extérieurs à la victime initiale, clients ou partenaires. Un lien entre la cyberattaque par Maze sur Xerox et HCL Technologies a été soupçonné, sans qu’aucun des deux intéressés ne souhaite commenter. Mais en 2019, la jeune pousse Huntress Labs détaillait trois incidents où les ordinateurs de clients de prestataires d’infogérance avaient été compromis par ransomware, via des outils d’administration à distance. Et cela ne s’arrête pas là.
Les données dérobées par les cyberdélinquants avant le déclenchement de leur rançongiciel peuvent être de véritables mines d’or pour de futures campagnes de hameçonnage hautement ciblé… et facilité par l’utilisation d’informations bien réelles glanées à l’occasion de la précédente attaque. Une seule liste de milliers d’adresses e-mail assorties de quelques éléments personnels supplémentaires peut déjà constituer un point de départ redoutable.
Mi-juillet, Brett Callow, chez Emsisoft, attirait notre attention sur un tel cas suspect : Nefilim a revendiqué une attaque sur Stadler en mai ; NetWalker en a revendiqué une sur Triniti Metro début juillet ; sur l’une des captures d’écran pour ce dernier figurait un dossier nommé… « Stadler letters ». Pour l’analyste, « de telles connexions apparaissent bien trop souvent pour n’être que des coïncidences ». Et cela même si NetWalker s’appuie sur des « partenaires » tandis que Nefilim fonctionnerait plutôt en vase clos. Car rien ne dit que l’un des partenaires de NetWalker ne s’est pas penché sur les données divulguées plus tôt par Nefilim pour les utiliser dans le cadre de l’attaque sur Triniti Metro…
Un espoir : la limitation des ressources disponibles
De nouveaux groupes de cyberdélinquant associant chiffrement et vol de données avec menace de divulgation pour soutenir leurs efforts d’extorsion sont récemment apparus. Mais la capacité des cyberdélinquants à exploiter toutes les pistes qu’ils obtiennent n’est pas illimitée. Les appels à « partenaires » sont réguliers sur les forums qu’ils fréquentent. Et les profils recherchés sont parfaitement d’un niveau de compétence élevé : même si les outils librement accessibles ne manquent pas, la phase de reconnaissance manuelle préalable au déploiement et à la détonation du rançongiciel nécessite une expertise certaine. Toutefois, rien n’assure que certains spécialistes des étapes intermédiaires des attaques n’interviennent pas pour différents groupes.
Reste que toutes ces pistes n’ont manifestement pas à être exploitées sur le champ : la lenteur de nombreuses organisations à fermer les portes d’entrée qu’elles laissent trop ouvertes sur Internet ne fait qu’aider les cyberdélinquants. Attention, donc : un répit peut donner une impression de recul de la menace tant en n’étant qu’une illusion. Et une chose apparaît sûre : l’heure n’est pas au relâchement de la vigilance.