Toutes les attaques avec rançongiciel ne se valent pas

Des attaques peu sophistiquées…

Certaines attaques de cyberextorsion s’avèrent relativement peu sophistiquées. Ce sont probablement les plus fréquentes, d’ailleurs. Là, le logiciel malveillant peut être caché dans un logiciel pirate ou dans une pièce jointe, voire être téléchargé par une pièce jointe malveillante. La compromission peut se limiter au seul poste de travail affecté.

Mais certains ransomwares embarquent des capacités de réplication autonome attribuée aux maliciels de type vers. Historiquement, on peut ainsi citer ZCrypt ou Spora, entre autres exemples. Là, les dégâts sont potentiellement plus étendus. Mais l’attaque reste moins sophistiquée que d’autres.

En outre, les hôtes sous Windows ne sont pas les seuls concernés par ces menaces. Des bases de données exposées sur Internet et mal sécurisées peuvent aussi attirer l’attention de cybermalfaiteurs en mal d’extorsion. Et cela vaut aussi pour les systèmes de stockage en réseau (NAS), comme le Français Otago Production en a fait la malheureuse expérience au printemps 2021.

Cependant les demandes de rançon observées avec ces attaques informatiques ne sont généralement pas bien spectaculaires. Les extravagances concernent les attaques plus sophistiquées.

… Comme des attaques en profondeur

Pour celles-ci, une fois entrés dans le système d’information, les assaillants explorent l’environnement, jusqu’à atteindre l’architecture Active Directory et obtenir des droits d’administration sur un contrôleur de domaine. Là, ils sont tout simplement maîtres de tout ce qui est rattaché au domaine.

Ce phénomène ne date pas de 2019, mais il y a connu une accélération considérable, avec le développement d’une cybercriminalité financière empruntant beaucoup aux menaces avancées persistantes (Advanced Persistent Threat, APT). Ivan Kwiatkowski, chercheur en sécurité au sein du GReAT (global Research & Analysis Team) de Kaspersky, l’expliquait début 2020 : « traditionnellement, on avait tendance à représenter la topologie des cyberattaques comme une pyramide, avec tout en bas, le bruit de fond, à savoir les scans de ports, les attaques en force brute, etc. Au-dessus, on plaçait la cybercriminalité, et tout en haut, les APT. Une forme de ruissellement était supposée : les chercheurs documentent les techniques, tactiques et procédures (TTP) des APT, et les acteurs de la cyberdélinquance/cybercriminalité s’en inspirent pour peaufiner leurs attaques et devenir graduellement plus performants ».

… Couronnées d’un outil de chiffrement dédié

Confortablement maîtres du domaine, les attaquants peuvent désactiver les outils de protection des hôtes, afin qu’un antivirus ne vienne pas bloquer la « charge utile », à savoir le logiciel de chiffrement des données – le ransomware lui-même. Ils peuvent d’ailleurs s’appuyer sur des outils d’administration tout à fait légitimes pour télédistribuer leur rançongiciel. Et avant de déclencher le chiffrement, ils sont souvent le loisir de voler des données – l’exfiltration se fait fréquemment sur des plateformes de stockage en mode cloud – puis d’endommager les sauvegardes.

Les cybermalfaiteurs pourront alors pratiquer ce que l’on appelle la double extorsion : ils menacent de divulguer publiquement les données volées si leur victime refuse de payer la rançon. Et certaines victimes ne manquent d’ailleurs pas de céder ainsi au chantage, alors même qu’elles sont en mesure de récupérer leurs données à partir de sauvegardes.

Des attaques ont toutefois été observées où aucun ransomware n’avait été utilisé. Certains attaquants peuvent se contenter de dérober des données pour essayer de faire chanter leur victime. D’autres peuvent les chiffrer… mais en utilisant une fonctionnalité native de Windows : BitLocker.