Pour une organisation, en quoi consiste une cible idéale pour un cyber-méfait? La firme de sécurité KELA a examiné les ‘petites annonces’ postées par des bandes elles-mêmes, afin de trouver la réponse.
Le cyber-crime – surtout le ransomware – est depuis un certain déjà devenu suffisamment vaste pour avoir son propre écosystème de fournisseurs de services. Pensons ici aux crypto-plates-formes de blanchiment d’argent par exemple, mais aussi à ce qu’on appelle les ‘initial access brokers’ (IAB). Il s’agit là de fournisseurs qui scannent le web à la recherche de failles, expédient des mails d’hameçonnage (‘phishing’) ou tentent par ‘brute force’ de mettre la main sur les mots de passe d’employés d’entreprises, afin d’avoir ainsi accès à de possibles victimes. Ces fournisseurs ne vont souvent pas eux-mêmes pénétrer dans les réseaux d’entreprises, mais en vendre ‘un accès’ tout prêt à d’autres criminels.
La firme de sécurité KELA a examiné les ‘petites annonces’ que des bandes d’agresseurs au rançongiciel postent avec des questions adressées à ces IAB et ce, pour savoir ce qu’elles recherchent dans une victime idéale. Voilà ce que précise l’entreprise sur un blog et qui a été découvert par le site technologique Bleeping Computer. Au vu de la matière, le champ d’investigation était assez réduit: KELA a ainsi analysé 48 messages postés sur des forums actifs en juillet de cette année, où divers personnages indiquaient leur intention d’acquérir un accès à des réseaux. Quelque 40 pour cent d’entre eux représentaient des bandes recourant au ransomware ou étaient des utilisateurs qui, d’une manière ou d’une autre, collaboraient avec ce genre de bande. Dans ce type de petite annonce figurent entre autres des informations sur le pays ou le secteur dans lesquels les entreprises ciblées se trouvent de préférence et combien la bande est prête à payer pour accéder à ce genre de réseau.
Le plus souvent, les bandes au ransomware recherchent un accès à des entreprises américaines enregistrant des rentrées supérieures à cent millions de dollars. Pour ce qui est du type d’accès, elles cherchent surtout des produits de Citrix, Palo Alto Networks, VMware, Fortinet et Cisco, qui ne sont pas par hasard le genre de produit réseautique qu’on trouve en général dans d’assez grandes entreprises. Les bandes disposent dans ce but de 100.000 dollars maximum, mais souvent nettement moins.
L’Amérique d’abord
Un exemple donné par KELA sur son blog est un message posté par la bande au rançongiciel BlackMatter, qui recherche des cibles aux Etats-Unis, au Canada, en Australie et en Grande-Bretagne ayant des revenus de 100 millions de dollars minimum. Un autre message posté intègre un ensemble de rentrées minimales: les entreprises américaines doivent enregistrer au moins 5 millions de dollars de rentrées, contre 20 millions minimum pour l’Europe et 40 millions pour le tiers monde. On soupçonne que cela est dû à la difficulté d’obtenir effectivement le versement d’une rançon de la part de ces entreprises.
Par ordre de popularité, la firme a examiné 47 pour cent de petites annonces aux Etats-Unis, suivis par le Canada (37 pour cent), l’Australie (37 pour cent) et l’Europe (31 pour cent). ‘Les bandes optent pour les entreprises les plus riches, dont on s’attend qu’elles soient installées dans les pays les plus grands et les plus développés’, précise Victoria Kivilevich, analyste chez KELA.
Les chercheurs ont également examiné ce que les bandes au ransomware excluaient spécifiquement. Pas mal de messages postés indiquent par exemple ne pas vouloir d’entreprises africaines ou situées dans des pays du tiers monde comme cibles, rien que pour l’idée, une fois encore, qu’il y a là moins d’argent à engranger. Quelque 47 pour cent des messages postés signalent que les bandes refusent de pénétrer dans des institutions de soins et dans des écoles, que ce soit en raison d’un manque d’argent ou d’une sorte de code moral prévalant (eh oui !) au sein même de ces bandes. 37 pour cent rejettent les services publics, probablement par crainte d’attirer trop l’attention des services de police, alors que 26 pour cent évitent les organisations non marchandes. Autre point étonnant: la plupart excluent la Russie et le bloc de l’Est en général. L’idée qui prévaut ici, c’est que si ces bandes opèrent à partir de la Russie, elles ne seront pas poursuivies aussi longtemps qu’elles recherchent des victimes en dehors de cette zone.
Plus cela rapporte, mieux c’est
Pour ce type d’accès, on constate enfin que ce qui rapporte évidemment le plus, c’est quand on s’en prend aux droits d’administrateur d’un réseau, mais on recherche néanmoins toutes sortes de formes d’accès. Cela peut aller du magasin en ligne jusqu’aux bases de données ou aux serveurs Microsoft Exchange. L’objectif n’est pas toujours de paralyser tout le réseau et d’exiger une rançon, mais aussi d’installer des crypto-extracteurs (cryptominers) par exemple, voire de dérober des informations.
Le rapport offre une meilleure vision du mode de fonctionnement de ces bandes, mais la règle la plus importante semble être surtout la suivante: plus cela rapporte, mieux c’est. Et de préférence d’une manière comportant le moins de risques possible. Par souci de clarté, sachez encore que les entreprises qui ne sont pas ‘des victimes idéales’, ne peuvent évidemment pas se reposer sur leurs lauriers. Comme on l’a constaté entre autres avec les attaques Kaseya, de plus petites entreprises peuvent elles aussi être victimes d’attaques au ransomware partout dans le monde.