mer 26 Jan 2022

La double extorsion des ransomwares




Ce matin, vous êtes le premier arrivé au bureau afin de pouvoir travailler tranquillement sur un gros projet que vous allez présenter dans quelques heures. Mais quelque chose ne marche pas correctement : votre ordinateur est lent, des messages d’erreur apparaissent. Finalement, une image en noir et blanc s’affiche : vos données ont été cryptées et vous n’avez que quelques heures pour payer une rançon. Vous n’êtes pas le seul : en 2021, la Suisse a connu plus que 114'000 attaques, dont nombreux ransomwares (Rançongiciel en Français) qui affolent autant les particuliers que les gouvernements, car ils sont devenus l’arme de prédilection de la cybercriminalité.

Le principe d’un ransomware est simple : le hackeur pénètre dans le système informatique et chiffre les données afin que les utilisateurs ne puissent plus y accéder. Il met ensuite à disposition la clef de déchiffrement en échange d’un paiement.

Afin de pouvoir demander une rançon, le hackeur doit s’assurer que sa victime n’aura plus accès aux données chiffrées, incluant les backups (sauvegardes) ; il consacre donc un temps considérable à effacer ces sauvegardes sur les différents appareils, service cloud, serveur, etc.

Avec l’augmentation du nombre d’attaques, les entreprises ont commencé à adopter des meilleures pratiques de protection, notamment en termes de gestion des backups. Il existe notamment des backups hors site (sur un autre réseau), des backups offline (déconnectés) et des backups « en lecture seule » (non effaçables). Bien qu’aucune de ces stratégies ne soit infaillible, elles ont permis à de nombreuses organisations d’éviter le paiement des rançons. Ainsi, les hackeurs ont dû adapter leur stratégie afin de ne pas perdre leurs revenus.

Un peu d’histoire

C'est peut-être difficile à imaginer que le premier ransomware est apparu il y a déjà 30 ans. Il contaminait les ordinateurs par disquette, puis demandait une rançon de $189 payable à une boîte aux lettres au Panama.

Depuis, le monde a changé : plus de 88% de la population suisse est connectée à internet et la majorité de notre vie est digitalisée. Que ce soit dans notre environnement privé ou professionnel, nous utilisons des ordinateurs pour travailler, stocker nos documents, effectuer nos achats, exécuter nos paiements et garder les souvenirs qui nous sont chers.

Les criminels, eux aussi, ont évolué et se sont digitalisés. Les pirates ne sont plus de jeunes hackeurs essayant de découvrir les nouvelles technologies, mais la mafia et des réseaux de crime organisé. Ainsi, si vous êtes victime d’une cyberattaque, vous êtes probablement la cible de hackeurs professionnels, très qualifiés, méthodiques, liés au crime organisé et ayant rapidement développé leurs capacités à s’enrichir illégalement via le monde en ligne. Actuellement, la cybercriminalité rapporte plus d’argent que la prostitution, drogue et vente d’armes !

Le principe d’un ransomware est simple : le hackeur pénètre dans le système informatique et chiffre les données afin que les utilisateurs ne puissent plus y accéder. Il met ensuite à disposition la clef de déchiffrement en échange d’un paiement.

La double extorsion

En 2019 une nouvelle technique de rentabilisation a été développée par les hackeurs afin de s’assurer qu’une victime paierait la rançon même dans le cas d’une stratégie de backup correctement mise en place. En plus du chiffrement de toutes les données sur les systèmes informatiques, les hackeurs exfiltrent (sortent) les données pour en conserver une copie.

Une fois le piratage correctement effectué, le hackeur demande à sa victime de payer la rançon pour récupérer ses données et le menace aussi de les publier si elle refuse de coopérer. Afin d’augmenter l’intimidation des victimes, il y a donc une utilisation en parallèle de la technique de la carotte (récupérer ses données) et du bâton (ne pas les publier). Nous appelons cela la "Double Extorsion".

La première fois que ZENDATA a été contacté pour gérer une attaque de ransomware fut en 2016, pour un montant de 600.- CHF (1.3 bitcoin). Depuis, nous avons vu de nombreux incidents avec des demandes portant sur plusieurs millions de CHF.

En 2019, seuls 12 incidents de double extorsion ont été déclarés, mais rien qu’au premier semestre 2021, il y en a eu plus de 2'500 indiquant une généralisation de cette technique.

Cependant le démon se trouve dans les détails : la menace de la publication de toutes ses informations internes est certes effrayante, mais qui prendrait le temps de parcourir des térabytes de données publiées par des hackeurs ? Pour que la menace soit efficace, les hackeurs parcourent eux-mêmes ces informations afin de mettre en avant celles qui causeront le plus de dommages aux victimes. Ainsi, ces groupes de crime organisé recrutent non seulement des hackeurs, mais aussi des traducteurs, comptables, experts en communication et avocats qui analysent les informations et sélectionnent les plus sensibles et dommageables.

En 2020, nous avons vu un grand nombre d’attaques où les criminels menaçaient simplement la publication des données personnelles volées afin que la victime soit frappée par une amande liée au RGPD (pouvant monter jusqu’à 4% du chiffre d’affaires annuel).

Par exemple, en avril 2021, la société Quanta Computer, l’un des plus grands constructeurs d’ordinateurs portables au monde, a été attaquée par le groupe de hackeurs REvil. Ces derniers, après avoir chiffré toutes les données de la société taiwanaise, ont menacé de publier les informations volées, dont les plans des nouveaux ordinateurs Apple qui allaient être annoncés quelques semaines plus tard.

Cet été, ce fut le tour de la commune de Rolle d’être victime d’un ransomware ; suite au refus de paiement, des données sur les citoyens furent publiées en ligne, créant ainsi panique et consternation pour les Rollois.

Ce deuxième type d’extorsion est encore plus pervers que la simple demande de rançon pour décrypter des informations. Dans certains cas, les criminels menacent de mettre en lumière des fraudes fiscales, secrets de production, adultères, etc.

L’économie derrière les ransomwares

Comme dans le marché de la drogue, où les différents acteurs dans la chaîne ont différentes responsabilités (tels que les producteurs, les transporteurs, distributeurs, vendeurs, blanchisseurs d’argent, etc.) nous voyons un système très complexe dans le monde du cybercrime, mis en place sur des forums ou le darkweb. Lors de l’exécution d’une attaque, des expertises spécifiques sont mises à contribution, telles que :

Les Initial Access Brokers (IAB) sont des groupes qui ont réussi à obtenir l'accès à un réseau ou un système informatique en utilisant des informations d'identification volées, à travers des campagnes de phishing ou en exploitant des vulnérabilités sur des systèmes exposés.

Les Ransomwares as a Service (RaaS) est un modèle basé sur un abonnement qui permet aux affiliés (criminels voulant lancer une attaque de ransomware) d'utiliser des outils de ransomware déjà développés pour exécuter des attaques sans avoir des compétences de programmation.

Le « hackeur » qui va utiliser l’accès acheté au IAB pour déployer un ransomware loué à un RaaS, afin de mener son attaque.

Finalement, le blanchisseur d’argent (Cryptocurrency tumbler), qui est un service de mélange de crypto-monnaie pour "confondre" des fonds de crypto-monnaie potentiellement identifiables ou « entachés » avec d'autres, afin d'obscurcir la piste menant jusqu'à la source d'origine des fonds.

Ces quatre acteurs principaux se retrouvent sur le darkweb [REF autre article] ou sur des forums de hackeurs pour échanger et commercer afin de monter des attaques.

Le système est extrêmement bien ficelé, car il permet aux acheteurs disposant de moins de compétences techniques ou de ressources d'obtenir des matières premières pour construire des entreprises criminelles, notamment des logiciels malveillants, et avoir accès aux infrastructures des victimes, etc.. Cette accessibilité abaisse les barrières d'entrée dans l'écosystème criminel pour les acteurs qui manquent des compétences ou des ressources nécessaires, mais qui possèdent des fonds à investir dans la cybercriminalité. Aussi, ces sites web permettent à des criminels disposant de plus de compétences et de ressources de monétiser le fruit de leur travail et de convertir leurs attaques ou autres activités malveillantes en profits. Ces sites du darkweb sont des catalyseurs clés pour les acheteurs et les vendeurs.

Des impacts géopolitiques

Les criminels qui installent les ransomwares ne s’encombrent pas de considérations morales. Les hôpitaux sont régulièrement pris pour cible, avec déjà deux décès attribués à une cyberattaque ; des infrastructures critiques, telles que la distribution de pétrole, systèmes de traitement des eaux et transports ferroviaires, sont aussi régulièrement prises d’assaut par les cybercriminels pour installer des ransomwares.

Plus récemment, le système de payement du département des finances de la Papouasie-Nouvelle-Guinée, qui gère l'accès à des centaines de millions de dollars d'aide étrangère, a été victime d'une attaque de ransomware. Le pays, qui subit une crise majeure liée au COVID-19 (moins de 1% de la population est vaccinée), aux crimes, aux troubles de l’ordre publique, aux catastrophes naturelles et aux kidnappings, risque une réelle guerre civile si son système financier n’est plus capable de distribuer l’aide aux citoyens.

Une réelle mise en garde s’impose pour nos industries et gouvernements, dépendants de systèmes informatiques trop souvent mal protégés, et donnant ainsi un pouvoir disproportionné à des groupes criminels.

Faut-il payer la rançon ?

Bien évidemment, payer une rançon n’est jamais souhaitable. Cela peut coûter des milliers, voire des millions de francs et surtout alimente l’industrie du cybercrime. Le paiement d’une rançon va non seulement financer le groupe de hackeurs, lui permettant de recruter plus de membres et faire de la recherche & développement pour être plus performant, mais aussi confirmer que le type de cible (région et industrie) est rentable et créer donc une motivation à réitérer des attaques similaires.

Pourtant, la réalité est souvent bien plus nuancée ; ayant accompagné des centaines de victimes, nous remarquons que le paiement de la rançon est souvent la seule option de survie pour l’entreprise ou la « meilleure » chose à faire pour limiter les dommages à des tiers.

De mon expérience, plus de 30% des cibles de ransomware choisissent finalement de payer la rançon (certaines statistiques parlent même de 80% de paiement). Les cybercriminels sont très méticuleux et savent comment maximiser les dommages de leur victime : par exemple, ils lisent ses e-mails, afin de trouver les données les plus sensibles, et élaborent en conséquence un plan pour provoquer le plus de panique, de douleur et de perturbation opérationnelle, la forçant ainsi au paiement.

Même en payant, la victime n’est pas forcément sortie d’affaire ; le décrypteur transmis par les criminels peut ne pas fonctionner correctement sur tous les fichiers (des bugs existent dans tous les programmes) et certains documents peuvent rester chiffrés en dépit de tous les efforts. Aussi, les hackeurs chercheront souvent à monétiser encore plus leur attaque : ils parcourront les informations exfiltrées pour les utiliser dans d’autres attaques ou les revendre. Ils peuvent trouver dans des échanges d’email de nouvelles victimes potentielles pour des fraudes au président, des opportunités pour l’envoi de fausses factures, ou utiliser des informations personnelles pour des usurpations d’identité. [REF autre article]

Comme expliqué précédemment, l’accès initial dans le système informatique vient souvent d’un autre groupe de hackeur (IAB) qui aurait pu corrompre l’infrastructure à plusieurs endroits afin de maintenir sa persistance dans le système. Il faut, selon les cas, reconstruire l’infrastructure dans son entièreté ou faire une investigation profonde afin de s’assurer que la brèche qui a permis aux hackeurs de rentrer et sa persistance ont bien été éliminées.

Finalement, il y a aussi des conséquences légales et réputationnelles. La loi sur la protection des données européennes (RGPD) et la future loi suisse (LPD) imposent de fortes sanctions lors d’une fuite de données, forçant aussi dans certains cas les victimes à devoir annoncer publiquement la brèche.

Que font les forces de l’ordre

Il est légitime de se demander ce que font les forces de l’ordre, Interpol et l’armée pour protéger les citoyens et les organisations contre ces cybercriminels.

Il n’y a eu en effet que très peu d’arrestations de cybercriminels, principalement car ils sont difficiles à identifier et résident dans des pays qui « tolèrent » leur activité.

Toutefois, récemment, la dynamique a beaucoup changé. Les États-Unis et la Russie ont entamé une collaboration plus étroite visant à réprimer les gangs de cybercriminalité et de ransomware basés en Russie. Les serveurs gérant les cryptomonnaies de Darkside (groupe de cybercriminels) ont disparu, possiblement à la suite d'une intervention des forces de l’ordre ; REvil a dû cesser son activité lorsque sa plateforme en ligne a été déconnectée par la police ; et Europol a arrêté les membres d’un groupe de hackeurs ukrainiens responsable de plus de 1'800 attaques.

Ces initiatives, dont nous ne voyons que le début, ne vont pas résoudre le problème des ransomwares, mais clairement ralentir leur capacité d’action et réduire le nombre de victimes.

Comment se protéger de ces attaques ?

Il n’y a pas un outil ou processus unique susceptible de protéger efficacement une organisation contre une cyberattaque. Il faut mettre en place une sécurité en plusieurs couches (sécurité en profondeur) afin de pouvoir bloquer l’attaquant à chacune de ses étapes.

Il y a trois étapes principales dans une attaque de ransomware :

L’accès initial se fait généralement par un email (phishing & spear-phishing), une authentification faible (mot de passe faible, pas de multifacteur, etc.) ou un système directement connecté à internet (serveur mail, application web, VPN, TeamViwer, etc.) avec des vulnérabilités ou des fautes de configuration.

Le déploiement du code malveillant se fait soit sur des appareils qui ont eu leur protection désactivée soit en abusant des outils légitimes (living off the land) déjà installés sur les systèmes.

La demande de rançon, une fois les données exfiltrées et chiffrées, se fait une fois que les hackeurs ont confiance dans leur probabilité de paiement (ont effacé les backups ou récupéré des informations sensibles).

Les backups (sauvegardes) sont un outil essentiel pour lutter contre les ransomwares. Ils doivent être effectués régulièrement et testés systématiquement afin de s’assurer que les données puissent être restaurées en cas de problème. Étant donné qu’un hackeur va vouloir les détruire lors de son attaque, il faut aussi s’assurer qu’il ne puisse pas y accéder (en le sauvegardant hors ligne, sur d’autres réseaux, avec d’autres identifiants, etc.).

Un antimalware nouvelle génération (communément appelé antivirus) et EDR permettent non seulement de bloquer du code malveillant, mais aussi d’analyser les comportements sur les systèmes informatiques afin de détecter des actions dangereuses ou inhabituelles. Il existe nombreuses différentes solutions avec des fonctionnalités et performances très variables. Il est donc très important de bien choisir et correctement configurer la protection afin de bénéficier des défenses attendues.

Les identifiants (mots de passe) sont la clef permettant de rentrer dans votre environnement digital. Il faut donc sélectionner des mots de passe longs, ne pas les réutiliser sur plusieurs plateformes et les enregistrer dans un gestionnaire de mot de passe. Lorsque possible, l’utilisation du multifacteur (code à usage unique) peut grandement améliorer la sécurité. Finalement, il est absolument nécessaire de limiter les comptes privilégiés dans une infrastructure en ne créant et en n’utilisant les comptes administrateurs (locaux ou globaux) qu’en cas de nécessité.

La protection du trafic réseau (firewall) est essentielle afin de détecter et bloquer l’entrée du hackeur dans le système et l’exfiltration des données. Comme pour les antimalwares, les performances peuvent beaucoup varier entre un produit et un autre.

Le hackeur va devoir accéder aux données afin de les chiffrer et les exfiltrer. Il est donc fondamental de limiter l’accès à ces données, en les chiffrant (de façon légitime) afin de les rendre illisibles aux « non-ayants droit », et en n’autorisant les accès qu’aux personnes en ayant la nécessité.

La mise à jour des systèmes, avec les patchs et correctifs de sécurité, empêche un attaquant de rentrer dans une infrastructure en exploitant une attaque connue. Ceci est d’autant plus important sur les systèmes exposés sur internet.

La sécurité n’est pas un produit, c’est un processus ; ainsi, la configuration d’une protection doit évoluer avec le temps et en fonction des menaces ; les événements doivent être analysés afin de détecter des anomalies ; des procédures de détection et de réponse à un incident doivent être mises en place afin d’efficacement bloquer une attaque en cours.

Il n’y a pas d’exception dans la sécurité !

Tous les systèmes doivent être protégés (même les serveurs de base de données et les hyperviseurs), tous les comptes doivent être sécurisés (même ceux des prestataires informatiques et des directeurs), car les hackeurs vont exploiter chaque faille, vulnérabilité et oubli pour exécuter leur attaque.