zephyr_p - stock.adobe.com
Ransomware : la star honnie de 2019
Ryuk avait marqué le début de l’année ; il s’illustre à nouveau au moment où elle touche à sa fin. Entre temps, il aura fallu compter avec LockerGoga, Megacortex, Cryptomix Clop, ou encore Maze.
Lors du passage de 2018 à 2019, c’est le ransomware Ryuk qui s’était fait remarquer, s’imposant résolument comme une menace sérieuse pour les entreprises. Mais ce n’était que l’arbre cachant la forêt. Il n’a pas fallu attendre la fin du mois de janvier pour que ce soit au tour de LockerGoga de faire parler de lui, frappant Altran. Ce rançongiciel n’a pas tardé à faire les gros titres avec une autre victime emblématique : Norsk Hydro.
Dans la foulée, un autre ransomware était découvert : Megacortex, aux analogies troublantes avec LockerGoga ; les autorités américaines ont d’ailleurs récemment alerté sur la menace que représentent les deux. Entre temps, Fleury Michon en a lui-aussi fait l’amère expérience, de même que le sous-traitant aéronautique Asco, Ramsay GDS, le groupe M6, le CHU de Rouen, Prosegur, Go Sport, et tout récemment les universités de Gießen, outre-Rhin, et celle de Maastricht aux Pays-Bas, ou encore celle de Brest. Sans compter toute une litanie d’organisations privées comme publiques aux Etats-Unis, notamment, jusqu’aux garde-côtes américains pendant les fêtes de fin d’année.
Des opérations ciblées et soignées
Le doute n’est plus permis : les rançongiciels ne constituent pas un épiphénomène qu’il serait possible de prendre de haut dans une analyse de risque. Tout début 2019, Allianz plaçait d’ailleurs les incidents cyber en seconde position des risques pour les entreprises.
Surtout, pour CrowdStrike certaines attaques relèvent de la « chasse au gros gibier », où des groupes de cyberdélinquants ciblent méticuleusement de grandes organisations susceptibles de générer des paiements élevés, rapidement. Cela vaut sans le moindre doute possible pour les opérateurs de Ryuk et de LockerGoga, mais pas uniquement.
L’assureur AIG le confirme d’ailleurs, statistiques de demandes d’indemnisation à l’appui : les « attaques de type rançongiciel ou extorsion deviennent plus ciblées ». Une observation également faite par Malwarebytes et Vectra.
Une menace en trompe-l’œil...
Car en fait, le ransomware n’est que la partie visible d’une attaque en profondeur. Le chiffrement de fichier n’intervient qu’en phase ultime d’une opération menée patiemment et ayant conduit à une compromission étendue de l’infrastructure.
Dans son rapport sur LockerGoga, l’Agence nationale pour la sécurité des systèmes d’information (Anssi), le soulignait : l’exécution du ransomware « est réalisée sur plusieurs semaines (voire plusieurs mois) après la compromission effective de la cible. Une étude approfondie de la cible et de son infrastructure est donc fortement probable ».
Et l’Anssi d’expliquer le cheminement : « l’attaquant utilise des outils connus tels que Metasploit, Empire, et Cobalt Strike ainsi que psexec » pour se déplacer dans l’environnement de sa cible ; il « prend le contrôle d’au moins un compte administrateur et effectue différents rebonds via le protocole RDP dans l’infrastructure ciblée, pour ensuite déposer ses outils dans des serveurs spécifiques ». Et cela ne vaut bien sûr pas que pour ce seul ransomware.
...qui n’a qu’un nom : l’extorsion
La menace va donc bien au-delà de ce qu’il est possible de recouvrer avec la seule et simple restauration de fichiers à partir de sauvegardes. Et cela d’autant plus que les cybermargoulins apparaissent bien déterminés à tout faire pour arriver à leurs fins et réussir leurs tentatives d’extorsion.
Zeppelin, tout juste détaillé par Morphisec et Cylance, Maze, Sodinokibi, ou encore Snatch ne se contentent plus de chiffrer les données de leurs victimes pour essayer leur soutirer de l’argent : ils en volent au préalable. Pourquoi se priver, d’ailleurs, puisqu’ils ont généralement eu tout le temps voulu pour se promener copieusement dans l’environnement de leur victime, avant de déclencher les opérations de chiffrement. A la clé, des menaces de divulgation, ou simplement de dénonciation publique pour celui qui refuserait de payer, comme avec Maze.
Détection et assurance deviennent incontournables
Face à cela, la sécurisation de la messagerie électronique, des téléchargements, ou encore des accès RDP apparaît plus que jamais essentielle. Car l’accès initial et le déplacement latéral constituent deux éléments clés sur lesquels il convient de concentrer les efforts de détection. Même si cela n’a rien de nécessairement trivial, même si l’importance de la détection est régulièrement soulignée depuis plusieurs années.
Mais cela ne s’arrête pas là. Les incidents de l’année montrent, s’il le fallait encore, que la gestion du risque que représentent les ransomwares ne peut pas se limiter à une dimension technique : les délais de retour à des conditions opérationnelles normales sont tels qu’il convient de prévoir des pertes d’exploitation, en plus des coûts de restauration. Et pour cela, la cyberassurance ressort de plus en plus comme incontournable. Mais encore faut-il prendre la peine de conduire une analyse de couverture assurantielle méticuleuse.