Pour Ivan Kwiatkowski, Kaspersky, le ransomware étatique reste un épiphénomène

Les chercheurs de Check Point ont levé le voile sur Pay2Key au début du mois de novembre dernier, indiquant qu’au cours de la semaine précédente, « un nombre exceptionnel d’entreprises israéliennes ont fait état d’attaques de ransomware ». Il y avait là des victimes de Revil et Ryuk, mais aussi du nouveau venu. Depuis, Pay2Key s’en est notamment pris à la filiale d’Intel Habana Labs, et au spécialiste israélien du contrôle d’accès réseau Portnox.

Pay2Key est soupçonné d’être l’œuvre du groupe Fox Kitten (APT33). Ce dernier est considéré comme œuvrant pour le gouvernement iranien. Le site Web de Pay2Key ne laisse d’ailleurs guère de doute sur le fait qu’Israël en constitue la cible privilégiée. Mais même si les cyberattaques de rançongiciel sont généralement perçues comme le fait de cybermafieux, cet exemple n’est pas isolé.

Fin juillet 2020, Ivan Kwiatkowski, Pierre Delcher et Félix Aimé, tous trois chercheurs au sein de Great de Kaspersky, ont ainsi cosigné un billet de blog au sujet du ransomware VHD, déployé sur un système d’information dont un hôte avait été préalablement compromis par une porte dérobée basée sur le framework MATA (aussi appelé par d’autres éditeurs Dacls). Ce dernier étant exclusivement utilisé par le groupe Lazarus (APT38), soupçonné d’œuvrer pour la Corée du Nord.

LeMagIT : A-t-on connaissance, ou soupçonne-t-on d’autres groupes APT d’avoir développé des activités dans le domaine du ransomware ?

Ivan Kwiatkowski : À notre connaissance, les deux groupes que vous citez sont les seuls aujourd’hui à avoir fait une incursion dans le monde du ransomware. J’exclus volontairement le cas de NotPetya qui était à part, et avait avant tout vocation à déguiser un sabotage.

Au demeurant, on soupçonne Lazarus et certains groupes persophones d’avoir des échanges et de partager des méthodologies, donc cette nouvelle ne me surprend pas.

LeMagIT : À quand cette évolution des activités de certains groupes soupçonnés d’être liés, plus ou moins étroitement, à des États-nations remonte-t-elle ?

Ivan Kwiatkowski : En ce qui concerne le ransomware « à but lucratif », les cas liés à Lazarus étaient (à ma connaissance) la toute première occurrence. Mais ce groupe a toujours eu un pied dans le monde du crime financier, donc à ce titre ce n’est pas une tendance nouvelle.

De manière plus générale, la sphère cybercriminelle russophone, pas uniquement liée au ransomware, est depuis longtemps soupçonnée de bénéficier d’une forme de complaisance des autorités locales. On n’est donc pas face à une rupture.

« Notre analyse, dans ces deux cas de figure, est qu’il s’agit d’opérations visant à alimenter la trésorerie d’états victimes de sanctions internationales. »

LeMagIT : Comment l’interpréter cette évolution ? Certains membres d’APT jouent-ils la carte du Ransomware-as-a-Service (RaaS), plus ou moins sur le temps libre, à des fins d’enrichissement personnel, avec la bénédiction de leurs employeurs nominaux ? Ou ceux-ci cherchent-ils précisément à enrichir les caisses de leur État ?

Ivan Kwiatkowski : Notre analyse, dans ces deux cas de figure, est qu’il s’agit d’opérations visant à alimenter la trésorerie d’états victimes de sanctions internationales. Nous ne croyons pas à l’hypothèse d’attaquants qui chercheraient à s’enrichir personnellement à côté de leurs missions de renseignement.

LeMagIT : Cette évolution est-elle préoccupante, au-delà de la menace du verrouillage de données et systèmes par ransomware ?

Ivan Kwiatkowski : L’arrivée de nouveaux acteurs dans le monde du ransomware n’est jamais une bonne nouvelle, bien sûr. Mais à l’heure actuelle, ces groupes ne changent pas significativement l’état de la menace pour les entreprises. Ces groupes n’apportent pas de rupture technologique ni méthodologique ; les recommandations pour se protéger d’eux sont exactement les mêmes que pour l’ensemble des gangs de ransomwares plus traditionnels.

J’attirerai simplement l’attention des victimes sur un risque juridique supplémentaire que ce phénomène fait peser sur eux : le risque – en cas de paiement de la rançon – de se retrouver en violation de sanctions internationales.