Bilan de l’année 2021 : Déni de service

0
314

This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol Russe

L’année 2021 n’aura pas été de tout repos pour le secteur de la sécurité. En plus de la pandémie qui s’éternise, les pirates informatiques ont continué à évoluer à un rythme alarmant, repoussant les limites et suscitant beaucoup de doutes quant à la capacité de notre secteur à tenir la cadence infernale imprimée par des cybercriminels toujours plus nombreux et mieux équipés.

La répression et les raids offensifs de l’année dernière n’ont pas été concluants. Par ailleurs, nous avons pu constater que les hackers apprennent de leurs erreurs et préfèrent rester discrets sur les principaux réseaux sociaux. Les attaques par déni de service avec rançon ont également fortement progressé, et les partenariats entre opérateurs de rançongiciels et de DDoS se sont multipliés. Et, comme chaque année, nous avons vu de nouveaux records de DDOS établis cette année.

Mise en œuvre en 2021

Cette année, s’agissant des dénis de service, les opérations de répression et les raids offensifs contre les pirates n’ont pas eu d’impact sur l’environnement des menaces DDoS. Par exemple, cette année, les services secrets ukrainiens (SSU) ont interpellé un hacker accusé d’avoir créé et exploité un botnet comptant plus de 100 000 nœuds infectés. La police néerlandaise a envoyé des lettres de notification à 29 foyers, identifiés comme utilisant un service de location DDoS. Par ailleurs, le Ministère américain de la Justice a condamné un ressortissant turc pour avoir mené des attaques DDoS via un botnet basé sur un smartphone Android, WireX.

On pourrait penser que la répression policière et les raids offensifs seraient suffisamment dissuasifs pour ralentir la vague grandissante d’opérateurs DDoS, or il n’en est rien. Au troisième trimestre 2021, Radware a indiqué  avoir atténué 75 % d’attaques DDoS de plus au cours des neuf premiers mois de 2021 qu’en 2020. Il fallait toutefois s’y attendre, car en 2020, nos chercheurs avaient constaté une augmentation des services de location DDoS au début de la pandémie, malgré les nombreuses tentatives des forces de l’ordre de contenir l’environnement des menaces DDoS l’année précédente.

https://blog.radware.com/security/ddosattacks/2021/11/q3-quarterly-report-of-ddos-and-application-attacks/ Au cœur du problème, il y a le profit. Il y a trop d’argent en jeu pour que les acteurs malveillants se retirent de l’environnement DDoS à ce stade. Aujourd’hui, lorsqu’un opérateur DDoS bat en retraite, un autre prend tout simplement sa place.

Rester sous le radar

Pour les pirates dont les motivations ne sont pas financières, ce qui est surtout le cas des hacktivistes, quelques leçons peuvent être tirées du passé alors que de nouveaux groupes commencent à modifier leur modus operandi en 2021. Par exemple, le groupe de hackers DragonForce, auteur de plusieurs cyberattaques contre Israël au printemps et à l’été 2021, s’est éloigné des plateformes médiatiques conventionnelles et a créé son propre forum.

Ce fut une nouveauté intéressante, mais attendue. Au début de l’année 2021, même le milieu criminel clandestin a eu du mal à gérer l’effronterie des opérateurs de rançongiciels et consorts qui se livraient ouvertement à leurs activités sur des forums publics, comme quand les hacktivistes organisaient et menaient des campagnes DDoS sur les réseaux sociaux. Le résultat ? Les pirates ont été censurés ou bannis de ces forums malveillants.

Il semblerait qu’en 2021, les groupes d’hacktivistes aient appris à s’éloigner des projecteurs, à s’autogérer et à faire fonctionner leurs plateformes sous les radars pour ne pas être repérés et expulsés. Les traquer n’en sera donc que plus difficile, car les conversations se détournent d’une plateforme centralisée pour se réfugier sur une multitude de forums spécialisés, inconnus, éparpillés sur la Toile.

[Sur le même thème : Cyber prédictions 2022 pour l’Open Banking]

Hausse des RDoS

Au début de l’année 2021, Radware a mis en garde contre un groupe adepte des attaques par déni de service avec demande de rançon (RDoS) revenant à la charge auprès de victimes ciblées durant l’été 2020. Dans ses nouvelles tentatives d’extorsion RDoS, le groupe insinuait que les entreprises en question n’avaient pas répondu ou payé la demande de rançon initiale d’août 2020, et qu’elles seraient donc la cible d’une attaque DDoS en cas de refus d’obtempérer.

https://www.zdnet.com/article/as-bitcoin-price-surges-ddos-extortion-gangs-return-in-force/ Si cet événement était notable, il n’était que le début de ce qui allait devenir une année impressionnante en matière d’attaques RDoS. En juin 2021, lors d’une recherche de menaces en direct par Radware, alors que je discutais de la campagne Fake DarkSide visant le secteur de l’énergie et de l’alimentation, j’avais prédit que nous verrions bientôt des groupes RDoS s’approprier les noms de pirates de rançongiciels. Trois mois plus tard, une vague d’attaques RDoS ciblait des fournisseurs de VoIP. Plus précisément, lors de l’attaque contre VoIP.ms, les hackers se sont fait appeler REvil, célèbre opérateur de rançongiciel qui venait de réapparaître dans l’environnement des menaces après avoir complètement disparu des radars à la suite de l’attaque Kaseya VSA.

Les plus grandes campagnes RDoS ont ciblé de multiples fournisseurs de VoIP comme VoIP.ms, Voipfone, VoIP Unlimited et Bandwidth.com et ont alarmé car des infrastructures critiques avaient été touchées, donnant lieu à un avertissement général de Comms Council UK, indiquant qu’une « campagne d’extorsion internationale et coordonnée était actuellement menée par des cybercriminels professionnels » et visait les fournisseurs de services de communication basés sur les adresses IP au cours du mois d’octobre. Et si, par le passé, les attaques RDoS étaient généralement considérées comme une menace légère, facile à atténuer, l’une des victimes, Bandwidth.com, s’attend à perdre jusqu’à 12 millions de dollars à cause d’une tentative d’extorsion DDoS subie lors d’une interruption de service. C’est le signe que les menaces RDoS évoluent.

Une troisième grande vague d’attaques RDoS a également été observée à la fin de l’année, alors même que le secteur de la VoIP était pris pour cible. Il s’agissait d’une campagne RDoS visant plusieurs fournisseurs de messagerie électronique comme Runbox, Posteo et Fastmail. Ce que l’on doit surtout retenir de cette campagne, c’est que le groupe qui se faisait appeler le « Patriarche maudit » exigeait environ 4000 dollars. Soit un montant similaire à celui réclamé lors des campagnes RDoS qui ciblaient les fournisseurs de messagerie en 2015.

D’ici 2022, je m’attends à ce que l’environnement RDoS continue d’évoluer et finisse par fusionner avec celui, plus large, des menaces des rançongiciels.

Conjuguer les forces ; Rançongiciels + DDoS

Vous êtes peut-être en train de vous demander ce qui distingue un rançongiciel d’une attaque RDoS. Et c’est tout à fait normal. La différence ne saute pas forcément aux yeux. Heureusement, Pascal Geenens, directeur des Renseignements sur les menaces chez Radware, a récemment éclairci les choses dans un article de son blog.  Pour résumer, les attaques par rançongiciel s’appuient sur un logiciel malveillant de verrouillage de la cryptographie qui détruit les systèmes et rend les données inaccessibles jusqu’au paiement d’une rançon. Le modus operandi d’une attaque RDoS est quelque peu différent. Une attaque RDoS entraîne un déni de service pour provoquer un mauvais fonctionnement ou des pannes de réseau et extorquer des fonds aux victimes.

Le problème ? Les opérateurs de rançongiciel commencent maintenant à faire appel à des opérateurs DDoS pour des arnaques dites de triple extorsion. Une attaque de simple extorsion consiste simplement à crypter les données de l’appareil ciblé. Une attaque à double extorsion exfiltre les données cryptées, avec menace de publication si la rançon n’est pas payée. Et on parle de triple extorsion quand un opérateur de rançongiciel recourt aux attaques par déni de service contre le réseau ciblé pour ramener les victimes à la table des négociations. En 2020, des opérateurs de rançongiciel comme SunCrypt et RagnarLocker ont utilisé des attaques par déni de service pendant les négociations. En 2021, nous avons vu Avaddon, Darkside, Yanluowang et HelloKitty utiliser des attaques par déni de service durant leurs campagnes de rançongiciel.

Développement de botnets

Le monde des botnets DDoS a connu quelques démantèlements et développements significatifs cette année. Par exemple, début 2021, de nombreux chercheurs IoT ont suivi avec attention les développements liés à un botnet P2P connu sous le nom de Mozi. 360 Netlab avait été le premier à révéler son existence en 2019 ; entretemps, le botnet avait bien grandi, et était maintenant devenu une menace perfectionnée à plusieurs modules. Mais à l’été 2021, 360 Netlab a annoncé la mort de Mozi suite à l’arrestation de l’opérateur en Chine. Bien qu’il s’agisse d’une excellente nouvelle, combien de temps faudra-t-il pour que ce botnet soit vraiment hors d’état de nuire ? Même s’il ne sera plus mis à jour, il continuera de se propager pendant un certain temps encore car c’est ainsi qu’il a été construit et conçu. Comme le coriace botnet XTC/Hoaxcall, il mettra probablement des années à disparaître. Il est hélas impossible d’abattre un botnet P2P en un seul coup gagnant. La seule façon de tuer ce botnet et de le faire disparaître à jamais, c’est de redémarrer, de mettre à jour ou de remplacer les périphériques réseau ciblés.

Un autre botnet a suscité un grand intérêt en 2021 : Manga/Dark.IoT. Ce botnet a également été observé par Juniper et Palo Alto Networks tout au long de l’année. L’analyse du botnet Mange/Dark.IoT n’a rien révélé d’extraordinaire. C’est un botnet IoT Mirai tout ce qu’il y a de plus banal, qui s’en tient à son vecteur de menace principal, les attaques DDoS, et ne diversifie pas ses opérations vers le minage de crypto ou le vol de données. Ce qui a frappé les spécialistes, c’était la capacité de l’opérateur à se développer rapidement et à étendre les capacités du botnet en intégrant à son arsenal des exploits récemment divulgués. Par exemple, en mars 2021, les chercheurs d’Unit42 de Palo Alto Networks ont signalé que les opérateurs de ce botnet avaient exploité CVE-2021-27561 et CVE-2021-27562 dans les heures qui avaient suivi la divulgation de la vulnérabilité.

La campagne Manga/Dark.IoT de cette année a également fourni plusieurs occasions d’explorer les essais et les erreurs auxquels sont confrontés les pirates lors de la construction et du développement d’un botnet DDoS. L’un des aspects les plus ardus de la construction d’un botnet à grande échelle, c’est la concurrence des autres pirates eux aussi désireux de prendre d’assaut des ressources vulnérables. Ceux qui ne peuvent pas développer ou découvrir des exploits comptent sur la divulgation publique. Une fois qu’une preuve de concept (PoC) est publiée, c’est la course à celui qui sera le premier à tirer parti de l’exploit et à réunir le plus grand nombre de dispositifs vulnérables. Il s’agit d’un processus d’essais et d’erreurs : certains hackers ne parviennent pas toujours à exploiter correctement les vulnérabilités, tandis que les autres finissent parfois par découvrir que la tentative n’en valait pas le coup. En 2021, les opérateurs des botnets Manga/Dark.IoT ont exploité près d’une vingtaine d’exploits. Plus récemment, en décembre 2021, le botnet a été vu en train de cibler les routeurs TP-Link.

Attaques DDoS notables

Pour être honnête, je suis vraiment surpris que personne n’ait revendiqué les attaques DDoS record que je m’apprête à décrire. Il n’y a pas si longtemps, les hacktivistes et les auteurs de DDoS revendiquaient rapidement leurs attaques, ou celles des autres…, sur les réseaux sociaux. Mais aujourd’hui, la discrétion semble de mise. Cette année, de gigantesques attaques DDoS se succèdent sans que quiconque cherche à s’en vanter. Des opérateurs de rançongiciels comme Lockbit en sont même arrivés à se rendre sur des forums clandestins pour se renseigner sur les auteurs d’une attaque et leur demander si leur botnet ou leurs services étaient disponibles. Avec cette nouvelle loi du silence, il s’avère de plus en plus compliqué de traquer les délinquants, mais une chose est sûre : ils sont passés à la vitesse supérieure.

Par exemple, en août 2021, Cloudflare a signalé avoir détecté une attaque de 17,2 millions de requêtes par seconde, un record mondial, provenant de 20 000 robots basés dans 125 pays. Moins d’un mois plus tard, Qrator a annoncé avoir détecté une attaque similaire ayant produit 21,8 millions de requêtes par seconde provenant de près de 56 000 appareils MikroTik. Ces attaques DDoS massives n’ont duré qu’une soixantaine de secondes, laissant dans la perplexité de nombreux analystes.

À en croire les premiers rapports, Meris serait derrière ces deux attaques. Meris est un botnet IoT à grande échelle exploitant des routeurs MikroTik compromis et le pipelining HTTP pour lancer des attaques DDoS volumétriques courtes mais de grande ampleur via un réseau de proxies SOCKS.

Un mois après les premières attaques Meris, Microsoft a annoncé avoir détecté et atténué une attaque DDoS de 2,4 Tbps (térabits par seconde) visant un client Azure en Europe. L’attaque aurait été lancée par près de 70 000 bots de plusieurs pays de la région Asie-Pacifique, modus operandi similaire à celui de Meris. Et comme les attaques Meris, celle-ci aura également été de courte durée, sa salve principale ne durant que 60 secondes.

Même s’il reste à faire toute la lumière sur Meris et son origine, ces attaques prouvent que les attaques DDoS sont en perpétuelle évolution et expansion. En 2022, je prédis que les choses continueront d’évoluer, et que nous assisterons à des attaques DDoS encore plus démesurées, les pirates apprenant à maximiser les ressources de leurs bots tout en gardant le silence.

Et demain ?

Au-delà de Meris et de toutes les autres actualités de cette année, nous pouvons conclure, à l’aube de 2022, que les attaques DDoS ne disparaîtront jamais totalement. Prenons garde à ne pas sous-estimer ces menaces ou ces pirates, car nous découvrirons bien vite en cette nouvelle année que les attaques n’ont pas à être complexes pour être efficaces.

J’espère que nous reviendrons à la vie normale en 2022, mais le fait est que nous devons commencer à nous préparer à un avenir totalement distant et à un monde dans lequel le numérique sera omniprésent. Pour s’y préparer au mieux, les gouvernements, en partenariat avec le monde de la cybersécurité, doivent trouver de meilleurs moyens de contrer les pirates informatiques et de faire régner l’ordre sur les réseaux. Il n’y a qu’ainsi que nous pourrons tenir tête à un ennemi aussi retors.

[Vous avez aimé cet article ?Abonnez-vous et recevez chaque semaine dans votre boîte de réception les derniers contenus Radware, ainsi qu’un accès exclusif aux contenus Radware Premium.]

LEAVE A REPLY

Please enter your comment!
Please enter your name here