Ransomware : mieux comprendre la menace
Introduction
Les cyberattaques avec ransomware sont de plus en plus incontournables dans les médias, en France et au-delà. Cette médiatisation accrue est notamment le fait de la multiplication d’attaques aux effets souvent bien visibles : la paralysie du système d’information des victimes ne s’avère que rarement facile à cacher. Dès lors, il est difficile de dissimuler la matérialité d’un grave incident de cybersécurité. Cela vaut encore plus pour certains secteurs d’activité, comme la santé, les transports et la logistique, voire les collectivités territoriales et l’enseignement.
Pour autant, la menace apparaît encore largement incomprise, notamment dans ses liens avec une autre : celle des infostealers. Qui plus est, les idées reçues erronées ne manquent pas sur les cyberattaques. Comprendre les méthodes des cybercriminels est toutefois essentiel pour mieux se protéger, se préparer, et savoir comment réagir en cas d’attaque, afin d’aider les forces de l’ordre à enquêter et perturber l’activité des malfaiteurs.
Dessin de François Cointe ©LeMagITUn petit tour en coulisses s’impose donc, pour voir comment les attaques sont préparées – parfois longtemps à l’avance, et pas toujours sans faire d’erreurs –, mais également comment les cybercriminels essaient de blanchir les cryptoactifs extorqués à leurs victimes. De quoi découvrir comment leurs échecs en la matière font les succès des enquêteurs de la Police nationale et de la Gendarmerie.
Tous les groupes impliqués dans des attaques avec ransomware ne se ressemblent pas. Certains sont plus discrets que d’autres, plus structurés ou au contraire plus ouverts et divers dans leur niveau de sophistication et d’ingéniosité. Les plus réputés ne sont d’ailleurs pas nécessairement les plus actifs : plusieurs rançongiciels peu médiatisés et peu connus du grand public font de très nombreuses victimes, dans le monde entier.
1Décryptage-
Mieux comprendre la menace
Pourquoi tant de cyberattaques ?
Parce que la défense, dans toutes ses composantes, n’est pas au niveau. Et si les cyberattaques ne sont pas plus fréquentes, c’est uniquement parce que les assaillants ne sont pas assez nombreux pour cela. Lire la suite
Ransomware : 9 idées reçues contredites par la réalité des cyberattaques
Certaines idées reçues ont la vie dure, en matière de cyberattaques avec ransomware. La plupart de ces mythes, ou légendes urbaines ont un point commun : elles peuvent conduire à développer un faux sentiment de sécurité. D’où l’importance de rétablir la réalité de la menace. Lire la suite
Ransomware : les mensonges des cybercriminels
Fournir un outil de déchiffrement, des conseils de sécurité, effacer les données volées… ce sont les trois principales promesses des cybercriminels en cas d’attaque avec rançongiciel. Mais les tiennent-ils ? Lire la suite
Ransomware : pourquoi compter les revendications des cybercriminels ne suffit pas
Comptabiliser les revendications des cybercriminels pour en tirer des conclusions paresseuses sur l’intensité de leur activité, c’est leur servir la soupe (ainsi qu’aux adeptes du marketing) de la peur. Lire la suite
Ransomware : ceux qui font le plus parler d’eux ne sont (toujours) pas les plus répandus
Cl0p, LockBit, Alphv, Play ou encore Medusa comptent parmi les franchises de rançongiciel les plus connues du moment. Une notoriété qui fait oublier d’autres ransomwares très répandus, à commencer par Dharma, Stop/Djvu et les variants de Phobos. Lire la suite
Ransomware : pourquoi le retrait de revendication ne signifie pas le paiement de rançon
Lorsqu’une revendication disparaît du site vitrine d’une franchise de rançongiciel, il est tentant de suspecter qu’un paiement est survenu. Mais c’est négliger l’intérêt des cybercriminels à donner cette impression. Lire la suite
Ransomware : passé par ici, il repassera par là
Plusieurs organisations ayant été attaquées avec un ransomware ont récemment été touchées avec un second. L’indication potentielle du passage d’un attaquant d’une franchise mafieuse à une autre, mais aussi un rappel de l’importance d’un nettoyage en profondeur. Lire la suite
2Mode opératoire-
Dans les pas des cybercriminels
Ransomware : pourquoi les attaquants se trompent parfois sur leur cible
Les cybercriminels s’appuient sur les services en ligne de ZoomInfo et de Dun & Bradstreet pour qualifier leurs potentielles victimes en devenir. Des services susceptibles d’induire en erreur les attaquants. Lire la suite
Cyberattaque : comment déterminer quelles données ont été volées ?
Rares sont les entreprises victimes de cyberattaque capables de communiquer rapidement sur la quantité et la nature des données qui leur ont été volées. Parce que c’est rarement facile à établir. Lire la suite
Ransomware : quand les attaquants s’attachent à négocier à huis clos
Historiquement, les victimes de cyberattaque avec ransomware semblaient les plus attachées à la discrétion des échanges avec leurs bourreaux. Des franchises telles que BianLian, Royal et Money Message semblent désormais s’en soucier également. Lire la suite
FIC 2022 : Comment les criminels brouillent les pistes de leurs transactions en crypto-actifs
Les spécialistes des investigations financières sur la blockchain notent de nouvelles tendances émergentes dans l’utilisation des crypto-actifs par les criminels. Lire la suite
Cyberattaque : pourquoi la transparence est essentielle avec les forces de l’ordre
En cas de cyberattaque, avec ransomware – ou plus généralement toute forme d’extorsion – porter plainte et être totalement transparent avec la gendarmerie ou la police nationale est essentiel pour lutter contre la cyberdélinquance. Lire la suite
3Victimologie-
Quelques secteurs à la loupe
La logistique, un secteur de choix pour les cyberattaques ?
Les sociétés de transport du groupe Guyamier viennent d’être victimes d’une cyberattaque. Une situation dont au moins quatre autres spécialistes de la logistique, en France, ont déjà souffert en 2023. Lire la suite
Les cyberattaques dans l’aviation civile
Les cyberattaques connues publiquement s’avèrent relativement rares dans l’aviation civile. Elles n’en sont pas pour autant inexistantes. Rétrospective. Lire la suite
Le domaine maritime : zone de risques cyber
Depuis l’Antiquité, les océans sont un espace de liberté, de transport des hommes et des marchandises. Leur numérisation les rend vulnérables aux cyberattaques, même si la culture de gestion du risque y est fortement ancrée. Lire la suite
Cybersécurité en santé : une rentrée particulièrement brutale
Dans son bulletin mensuel sur l’origine des incidents de cybersécurité déclarés, l’Agence du numérique en santé fait état de rien moins que 13 cas de rançongiciel et 19 compromissions. Lire la suite
Collectivités territoriales : que celles qui n’ont pas eu leur cyberattaque se désignent
L’Anssi indique avoir traité 187 incidents cyber affectant des collectivités territoriales entre janvier 2022 et juin 2023. Plus de trois fois le nombre de cyberattaques connues pour celles-ci. Lire la suite
4Écosystème-
Gros plan sur quelques groupes
Hunters International : la franchise de ransomware Hive revient avec une nouvelle marque
La franchise mafieuse Hive semble de retour avec une nouvelle vitrine et une nouvelle marque, Hunters International. Le rançongiciel ayant permis sa découverte conforte le soupçon de lien. Lire la suite
Ransomware : liens avec Conti, pratiques… ce que l’on sait d’Akira
Apparue en mars, la franchise Akira apparaît fortement liée à feu Conti et, surtout, de plus en plus active. La rédaction a pu suivre plusieurs négociations impliquant Akira. Plongée dans ses activités. Lire la suite
Ransomware : oubliez Royal, préparez-vous pour BlackSuit
Le site vitrine du groupe Royal n’est aujourd’hui plus accessible. Mais cette émanation du gang Conti n’a pas disparu : elle semble être en train de changer de marque au profit de BlackSuit. Lire la suite
Cyberattaque contre la ville de Betton : que mijote le groupe Medusa ?
Le groupe Medusa a revendiqué l’attaque et demande 100 000 $ de rançon. Faute de paiement, les données seront vraisemblablement diffusées via Telegram d’ici environ 2 semaines. Lire la suite
Snatch : entre recycleur et lessiveuse de données volées
Apparu en 2018 comme franchise de ransomware en mode service, Snatch s’est depuis transformé en plateforme de diffusion de données volées lors de cyberattaques menées par des tiers, et parfois bien antérieures. Lire la suite
Ransomware : dans les coulisses des négociations avec Mallox
Les opérateurs de ce rançongiciel utilisent explicitement un chatbot et sont susceptibles d’intervenir à plusieurs dans les échanges. Mais de leur propre aveu, des défauts logiciels fatals pour qui paie en espérant récupérer ses données ne sont pas à exclure. Lire la suite
Que sait-on du ransomware BlackCat ?
Découvert début décembre, ce ransomware se distingue par le langage de programmation utilisé pour son développement, Rust. Il s’avère hautement personnalisable et peut toucher les systèmes Windows, Linux, ainsi que les environnements virtualisés VMware ESXi. Lire la suite