Le ransomware (rançongiciel) est un moyen particulièrement efficient de gagner de l’argent. On le savait déjà, mais la professionnalisation toujours plus grande de ce milieu le rend aussi nettement plus complexe, selon WithSecure.
Le fait que le cybercrime va ressembler toujours davantage au monde légitime des affaires, n’est déjà plus un secret depuis quelque temps. A partir des ‘script kiddies’ (pirates informatiques néophytes), l’évolution s’est faite vers un marché de prestataires de services, de franchises, voire plus. Il semble à présent que l’objectif de cette professionnalisation dépassera ce qui était estimé initialement. Et c’est le ransomware qui en sera le grand responsable.
‘On fait route vers une professionnalisation du cybercrime, qui trouve son origine dans les milliards de dollars qu’il rapporte’, déclare Stephen Robinson, senior threat intelligence analyst chez WithSecure lors de la conférence Sphere 2023, où Data News était présent. ‘On constate que les cybercriminels évoluent jusqu’à prendre exemple sur les entreprises légitimes. Ils recourent donc aussi à des mesures telles que l’utilisation de l’externalisation (outsourcing), de freelances, etc. Cela revient à dire qu’il existe un groupe d’organisations disposant de beaucoup d’argent pour acquérir des services criminels. Il y a donc un marché pour les prestataires de services criminels.’
Le but? Davantage d’efficience et de gain. Dans la pratique, les groupes vont se spécialiser dans des services spécifiques. Alors qu’un gang se chargeait lui-même de l’ensemble d’une attaque il y a quelques années encore, il existe à présent des bandes spécialisées en ‘initial access’ (la recherche de serveurs vulnérables ou de ‘login-credentials’, à savoir des identifiants de connexion, qui sont revendus ensuite sous la forme de clés prêtes à l’emploi), en plus de fournisseurs SaaS pour ransomware et de groupes qui prennent en charge le blanchiment de l’argent perçu.
Il s’agit d’une sorte de ‘boom’ d’une nouvelle activité qu’on ne pourrait que saluer dans un secteur légitime, mais qui, à l’autre extrémité de la loi, cause beaucoup de souci. Les germes de toute cette activité résident dans le ransomware, selon Robinson, et dans les entreprises et les personnes qui versent des rançons. ‘Le ransomware représente un gigantesque problème avec ses milliers d’attaques par an’, ajoute-t-il. ‘Les statistiques dont on dispose, sont basées sur les chiffres des groupes mêmes, spécifiquement ceux qui possèdent des sites web qui fuient. Il en résulte qu’il faut les prendre avec circonspection. Ce qu’on sait par contre, c’est que le gain a régressé, tout en demeurant très important malgré tout.’
‘Tout le monde dispose de sauvegardes’
Ce recul s’explique partiellement par une meilleure défense chez les victimes elles-mêmes. Les entreprises sont aujourd’hui mieux sécurisées ou possèdent du moins un système de sauvegardes (back-ups). Malheureusement, cela engendre de nouvelles formes d’escroquerie de la part des gangs mêmes. Non seulement vos données sont prises en otage, mais il en va à présent de même de votre réputation, de la confidentialité de vos clients ou de votre propriété intellectuelle. Dans le cas de ce qu’on appelle la ‘multi-point extortion’ (extorsion multipoint), la menace réside dans la divulgation des données volées, si la victime refuse de payer.
‘Cela se voit par exemple dans l’évolution qui se poursuit vers les effaceurs (‘wipers’) purs’, explique Robinson. ‘Au lieu de crypter les données, on va en voler une partie et effacer le reste. Effacer des données se fait nettement plus vite que les crypter. Comme la menace utilisée, c’est la fuite de données et la divulgation de celles-ci au grand public, il ne faut pas les conserver, puisque les entreprises disposent quand même de sauvegardes.’
Marché surchargé
Tout cela signifie du reste aussi que les différentes organisations criminelles peuvent parfois se marcher sur les pieds. WithSecure cite en exemple dans son étude un incident dans une entreprise attaquée par cinq groupes à la fois, chacun ayant ses propres objectifs et spécialisations. On y recensait un groupe de ransomware, un Malware-as-a-Service, un gang de ‘cryptojacking’ (qui voulait donc surtout mettre la main sur de la puissance de calcul en vue d’extraire de la crypto-monnaie), un intermédiaire en accès initial, ainsi qu’un membre du Lazarus Group nord-coréen.
Autre conséquence: il est devenu nettement plus compliqué de détecter les auteurs précis, parce que les méthodes et les logiciels sont revendus. Les soi-disant ‘tactiques, techniques et procédures’ (TTP) font partie des principales façons d’identifier les gangs. La manière dont un gang pénètre dans une entreprise et celle qu’il utilise une fois à l’intérieur, mais aussi le code et les failles qu’il exploite, représentent autant d’importantes indications pour savoir de quel gang il s’agit. Cela change, lorsqu’une attaque est perpétrée par un prestataire de services et traitée par un autre, avec du Malware-as-a-Service pour le cryptage proprement dit.
A la question de savoir si le travail des chercheurs en sécurité ne s’est pas compliqué, Robinson répond de manière résignée: ‘Pour les victimes, ce n’est pas important. Si vous êtes attaqué, peu importe en général qui vous a pris pour cible. En tant que ‘security vendors’, nous le savons mieux que quiconque, car nous rédigeons alors un communiqué de blog sur telle ou telle bande, mais pour les victimes, c’est moins important.’
Il lance néanmoins un appel en vue d’adapter les techniques de défense à cette nouvelle réalité. Et surtout pour en faire plus contre le ransomware ou du moins contre le versement de rançons: ‘La meilleure façon de contrer le ransomware, c’est de réduire les gains. Les organisations et les pouvoirs publics doivent accroître les risques encourus par les gangs, tout en réduisant l’éventuelle récompense d’une telle pratique.’
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici