Rançongiciels et dénis de service avec rançon : similaires, mais différents

0
178

This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol Russe

Depuis 2020, les rançongiciels et les dénis de service avec demande de rançon (RDoS) se multiplient, faisant la une des journaux presque toutes les semaines. Si les rançongiciels et RDoS poursuivent la même finalité et se ressemblent par certains aspects tactiques, leurs techniques et taux de réussite sont cependant assez différents, de même que la menace et l’impact potentiel pour les entreprises. Au fil du temps, ces menaces ont évolué et ont vu leur réputation et leurs techniques se renforcer mutuellement.

Rançongiciels

Les attaques par rançongiciel s’appuient sur un logiciel malveillant de type crypto-verrouilleur qui détruit les systèmes et rend les données inaccessibles. Pour fonctionner, ce logiciel malveillant doit être déployé sur les serveurs internes d’une entreprise. Les pirates doivent s’introduire dans le réseau ou dans un dispositif à l’intérieur du réseau, puis se déplacer latéralement pour impacter un maximum de systèmes et verrouiller le plus de données possible. Généralement, l’accès est fourni par des courtiers d’accès initial, des intermédiaires qui utilisent leurs propres méthodes pour pénétrer et envahir le réseau, puis vendent cet accès à d’autres pirates, principalement des groupes de rançongiciel ou des malfrats du même acabit.

Les attaques par rançongiciel rendent les systèmes inopérants et les données inaccessibles. Dans de nombreux cas, des données sensibles sont extraites, avec un risque potentiel de fuite d’informations.

DoS avec demande de rançon 

Les attaques RDoS orchestrent un déni de service pour extorquer une rançon à leurs victimes. En perturbant le fonctionnement des services en ligne, elles peuvent se révéler dommageables pour l’activité, la productivité et la réputation d’une entreprise. Les pirates ciblent des ressources en ligne comme des sites Internet, des services de noms de domaine, des API web, des salons de jeux, etc. afin de rendre les services inopérants et de nuire à l’image de marque. Ces attaques peuvent également impacter la productivité en ciblant les communications vocales, les messageries électroniques et l’accès à distance des filiales ou des employés en télétravail. Autres cibles : la connectivité Internet nécessaire pour accéder aux applications cloud, et les usines de production qui dépendent de la connectivité pour les opérations à distance, et du cloud pour l’échange de données logistiques avec les applications de planification des ressources et les organisations externes.

Il est important de noter qu’en général, contrairement aux attaques par rançongiciel, les attaques RDoS et DDoS ne pénètrent pas les réseaux ou systèmes. Aucune donnée n’est volée ni compromise lors de ces attaques.

Une attaque RDoS commence par l’envoi par les pirates d’un message privé, par exemple un courrier électronique via un fournisseur de messagerie très discret, réclamant le paiement d’une certaine somme si l’entreprise ne veut pas devenir la cible de leur prochaine attaque. Si l’entreprise ne cède pas dans le délai imparti, les pirates donneront l’assaut et l’attaque DDoS continuera jusqu’au paiement de la rançon. Le montant va généralement croissant tant que la victime refuse de payer.

En réalité, les attaques DDoS ont tendance à s’arrêter d’elles-mêmes dès que le pirate constate que ses tentatives sont contrées. Elles se prolongent plusieurs heures, changent de vecteur pour tenter d’échapper aux systèmes de détection et d’atténuation, refont parfois surface plusieurs jours après des tentatives infructueuses, mais au bout du compte, les escrocs repartent souvent bredouilles.

[Sur le même thème : Pourquoi est-il vital de comprendre le comportement et les outils des cybercriminels ?]

(statistiques pour 2021, toutes les devises en USD) Rançongiciels DoS avec demande de rançon 
Objectif Gain financier Gain financier 
Tactique Extorsion Extorsion 
Technique principale Crypto-verrouillage Déni de service distribué (DDoS) 
Impact Permanent (jusqu’à récupération) Transitoire (tant que l’attaque dure) 
Devise de la rançon Bitcoin Bitcoin 
Moyenne des rançons demandées 5,3 millions d’USD en moyenne [1] De 5 000 à 1 million d’USD [2] 
Moyenne des rançons payées 570 000 USD  ~ 0.0 USD  
Paiement le plus important 40 millions d’USD [3] 6 000 USD en 2015 [7] 
Taux de réussite 70% [4] Très faible 
Estimation des dommages 1,85 million d’USD en moyenne [5] 9 à 12 millions d’USD [6] 
Défense Défense en profondeur, segmentation pour limiter l’impact, mais pas de solution miracle Service de protection DDoS adéquat  

Rançongiciel : triple extorsion

Les techniques utilisées par les opérateurs de rançongiciel ont évolué et se sont diversifiées pour augmenter leurs chances de réussite. Les victimes étant mieux préparées et disposant de sauvegardes pour restaurer leurs systèmes après l’attaque par crypto-verrouillage, les pirates ont commencé à exfiltrer des données sensibles qui leur donneraient plus d’ascendant. Si la victime ne cédait toujours pas, ils la menaçaient d’attaques DDoS pour la ramener à la table des négociations.

Une image contenant texte, équipement électronique, CD, périphérique

Description générée automatiquement

Des pirates DoS se font passer pour des groupes de rançongiciel

La réussite, l’impact et la publicité qui entouraient ces demandeurs de rançon n’ont pas échappé à l’attention d’autres escrocs. Dans l’une des récentes campagnes RDoS visant des fournisseurs de VoIP au Royaume-Uni et au Canada, des pirates se sont fait passer pour « REvil », célèbre groupe de rançongiciel auteur d’attaques dévastatrices sur JBS SA et Kaseya Ltd. À l’image des opérateurs de rançongiciels qui annoncent leurs nouvelles victimes sur des blogs clandestins, des pirates RDoS se faisant passer pour « REvil » ont partagé leur lettre de rançon via Pastebin et extorqué l’une de leurs victimes, Voip.ms, en public sur Twitter, dans le but d’accroître les pressions.

Une image contenant texte

Description générée automatiquement

Schéma 1 : Pirate se faisant passer pour « REvil » et formulant publiquement ses menaces sur Twitter.

[Sur le même thème :Comment réagir à une demande de rançon corrélée à une attaque DDoS]

Une image contenant texte, capture d’écran, moniteur, écran

Description générée automatiquement

Schéma 2 : Capture d’écran de la lettre de rançon partagée publiquement sur Pastebin par un pirate RDoS se faisant passer pour « REvil ».

Se défendre contre les rançongiciels et les DoS avec demande de rançon

Personnellement, je n’ai jamais vu d’attaque DDoS réussissant à passer à travers nos défenses. Cela dit, il y a toujours une courte fenêtre durant laquelle un mauvais trafic peut s’immiscer, le temps que les algorithmes de détection puissent élaborer des signatures automatisées pour le contrer et ajuster les signatures pour éviter les faux positifs qui bloqueraient le trafic légitime. Mais en règle générale, d’après mon expérience, il n’y a aucune raison de payer la rançon lorsqu’on est protégé par un service DDoS adéquat.

En revanche, il est très difficile de se protéger contre les rançongiciels et d’en venir à bout. Ces pirates ont soigneusement tissé leur toile dans les bas-fonds du net et sont très suivis par des hackers occasionnels qualifiés et escrocs du même acabit, trop heureux de toucher leur part du gâteau. L’appât du gain est le plus fort, et la demande de compétences et de ressources de piratage informatique clandestines ne cesse de croître depuis les grandes campagnes d’extorsion de fonds. Les pirates informatiques se laissent séduire par les primes alléchantes promises par les bandes organisées, et les attaques se désautomatisent au profit de l’intervention humaine. Se prémunir contre des robots, c’est une chose, mais c’en est une autre de se défendre contre l’ingéniosité humaine et l’opiniâtreté motivées par des récompenses de plusieurs millions de dollars.

[Vous aimez cet article ?Abonnez-vous et recevez chaque semaine dans votre boîte de réception les derniers contenus Radware, ainsi qu’un accès exclusif aux contenus Radware Premium.]

Notes de bas de page et références

  1. Extortion Payments Hit New Records as Ransomware Crisis Intensifies (paloaltonetworks.com) 
  2. Les demandes de rançon fluctuent. En 2020, des campagnes allaient jusqu’à réclamer 20 BTC, alors que d’autres plus récentes menées par un groupe se faisant passer pour le « Patriarche maudit » se sont contentées de 0,06 BTC. 
  3. 81 Ransomware Statistics, Data, Trends and Facts for 2021 | Varonis 
  4. Study: 70 Percent of Businesses Hit with Ransomware Paid the Ransom | Healthcare Innovation (hcinnovationgroup.com) 
  5. The True Cost of Ransomware (backblaze.com) 
  6. Bandwidth.com expects to lose up to $12M following DDoS extortion attempt – The Record by Recorded Future 
  7. Update regarding the DDoS attack – ProtonMail Blog 
Previous articleVotre solution de protection DDoS vous protège-t-elle contre les menaces les plus récentes ?
Next articleRadware Threat Researchers Live: Ep.16
As the Director, Threat Intelligence for Radware, Pascal helps execute the company's thought leadership on today’s security threat landscape. Pascal brings over two decades of experience in many aspects of Information Technology and holds a degree in Civil Engineering from the Free University of Brussels. As part of the Radware Security Research team Pascal develops and maintains the IoT honeypots and actively researches IoT malware. Pascal discovered and reported on BrickerBot, did extensive research on Hajime and follows closely new developments of threats in the IoT space and the applications of AI in cyber security and hacking. Prior to Radware, Pascal was a consulting engineer for Juniper working with the largest EMEA cloud and service providers on their SDN/NFV and data center automation strategies. As an independent consultant, Pascal got skilled in several programming languages and designed industrial sensor networks, automated and developed PLC systems, and lead security infrastructure and software auditing projects. At the start of his career, he was a support engineer for IBM's Parallel System Support Program on AIX and a regular teacher and presenter at global IBM conferences on the topics of AIX kernel development and Perl scripting.

LEAVE A REPLY

Please enter your comment!
Please enter your name here