Les attaques de ransomware depuis et vers le cloud vont s’intensifier

Qu’il s’agisse de vos photos de vacances ou de la capacité d’un site web à vendre et expédier des produits, les hackers exploitent toujours le fait que quelqu’un a besoin de ces données.

En 2016, on a constaté une progression de 50% des attaques de ransomwares.

Ces attaques sont de plus en plus sophistiquées et difficiles à détecter et bloquer. Que faire et comment éviter de devoir verser une rançon ?  Car ce type d’attaque contraint effectivement les victimes à verser une rançon.  La procédure est la suivante : une victime présente en ligne se fait attaquer, les données sont chiffrées, elle reçoit une injonction à payer, plus elle met du temps à payer, plus le montant devient élevé, ou elle perd l’intégralité de ses données.

Dans le monde entier, les entreprises veillent à se prémunir des menaces d’extorsion de fonds, mais nous n’en sommes qu’aux prémices d’un modèle d’attaques dont nous pressentons qu’il risque de provoquer des dommages considérables.  La vigilance est clé. En effet, au vu des menaces dont les modèles économiques du cloud et du numérique sont les cibles, et du champ d’action possible des agresseurs potentiels, cela risque bien de se produire plus tôt qu’on ne le pense.

Si une chose est sûre dans le domaine de la sécurité, c’est que les risques évoluent.  Depuis que les entreprises opèrent leur transition vers l’infrastructure cloud et les applications, de nouveaux risques émergent qu’il faut gérer. Les promesses de la transformation numérique s’accompagnent d’une majoration du niveau de risque pour les entreprises, puisque les cybercriminels y voient davantage d’intérêt. Ceci nous ramène aux ransomwares, parfait exemple d’une menace en constante évolution.

Les premières campagnes de ransomwares (dans les années 2005) étaient laborieuses, mais c’est surtout la méthode inefficace (et traçable) de paiement de la rançon qui a freiné leur développement.  Tout a changé depuis l’avènement du Bitcoin, méthode de paiement anonyme, qui a contribué à faire des ransomwares la menace que nous connaissons aujourd’hui. Depuis quatre ans, le concept de base de ces attaques est resté relativement inchangé. A titre d’exemple, Cryptolocker, découvert en 2013, se retrouve toujours couramment dans les campagnes de ransomware diffusées en 2016.

Bien entendu, le code des ransomwares qu’utilise les hackers a changé au fil des années. Au quotidien, l’activité normale des cybercriminels se résume à apporter des modifications aux fichiers, binaires et jeux d’instructions, aux fonctions de commande et de contrôle, et aux e-mails et méthodes employés pour propager les menaces.

On constate aussi des changements notables des cibles des attaques, avec des ransomwares qui visent les bases de données en ligne vulnérables Mongo et MySQL ; c’est là une confirmation des efforts des criminels pour approfondir et parfaire leur pratique de l’extorsion numérique.

Ces changements ont pour objet de maintenir l’afflux d’argent. Mais avec autant d’individus et d’entreprises contraints de payer les criminels, la petite industrie artisanale a su se développer et augmenter ses profits, et de nombreux groupes criminels proposent à d’autres des plateformes Ransomware-as-a-Service.

Ce n’est que le début. Au cours de l’année dernière, une nouvelle approche d’utilisation de la technologie s’est révélée particulièrement séduisante pour les cybercriminels avec, potentiellement, plus de dommages à la clé.  Les attaques IoT déclarées l'an dernier laissent envisager une autre forme d’exploitation : la séquestration de produits et services des entreprises contre une demande de rançon pour empêcher leur utilisation.

Ce n’est que récemment que nous avons été témoins d’une attaque de ransomware réussie d’un fabricant de jouets électroniques pour enfants : les criminels empêchaient les clients d’avoir accès aux fonctions Internet (messages vocaux en ligne) utilisées par le jeu pour échanger les messages entre parents et enfants. C’est le service cloud utilisé par le jeu qui a servi de vecteur de compromission et non les jouets en eux-mêmes.

Le pire est à venir au vu de la faiblesse du modèle de sécurité de nombreux dispositifs IoT grand public dont les vulnérabilités pourront être exploitées pour attaquer l’infrastructure de communication et de relation avec les clients. 

Cette évolution pourrait être très lucrative pour ces criminels, dont la proie n’est pas tant les utilisateurs des produits, mais plutôt les entreprises et les fabricants qui les créent.  Ils savent en effet que de nombreuses entreprises sont prêtes à payer pour maintenir leurs services en ligne et préserver leur image de marque.

Combien sont-elles prêtes à débourser ?  Seul le temps le dira.