Ransomware : évolution des comportements sur le vol des données

Avec la montée en puissance du télétravail, le nombre d'entreprises exposées à des risques de ransomware est plus élevé que jamais. Entre les failles de sécurité réseau, le shadow IT et l'usage accru des moyens de communication à distance, les cybercriminels disposent d'un large choix d'options à exploiter.

Ransomware 1.0

Jusqu’à il y a environ cinq ans, l’objectif des cybercriminels était de chiffrer les fichiers de leurs victimes et de réclamer une rançon en échange de leur restitution. Ces attaques aléatoires, menées sans discernement, n’exigeaient pas de connaissances approfondies et enregistraient un faible taux de réussite. Le principe ? Un cybercriminel envoie un e-mail contenant un lien malveillant dans l’espoir qu’un employé peu méfiant l’ouvre et infecte son système. Pratiquement n’importe qui peut commettre ce type d’attaques en recourant à un service payant. Les auteurs de ces attaques vendent même sur le dark web des kits de ransomware pour seulement 1 000 dollars. D’autres ne proposent pas un achat, mais plutôt une part des bénéfices.

A mesure que les techniques de cyberdéfense se sont peu à peu perfectionnées, les méthodes des cyberattaquants se sont elles aussi professionnalisées. C’est ainsi que sont apparus WannaCry et NotPetya, deux ransomwares qui se propagent via un réseau pair à pair à l’aide d’exploits avancés. Ces attaques se sont révélées être dévastatrices pour les entreprises qui ont eu la malchance d’être infectées, mais rien ne garantissait que la victime paierait la rançon. Même si la société Maersk a subi jusqu’à 300 millions de dollars de pertes à cause de NotPetya, elle n’a pas versé un seul centime de rançon.

Par ailleurs, malgré l’infection de plus de 200 000 machines par WannaCry, les cyberattaquants n’auraient perçu "qu’environ" 386 905 dollars (sur la base de la valeur du Bitcoin en décembre 2019). Afin d’augmenter leurs chances d’empocher des gains substantiels, les cybercriminels ont changé leurs tactiques et concentrent désormais leurs efforts sur le "big game ransomware".

Essor du "big game ransomware"

Contrairement aux ransomwares 1.0, les attaques de type "big game ransomware" visent le "gros gibier". Ciblées et bien planifiées, ces attaques ont davantage de chances de rapporter de l’argent à leurs auteurs.

Les techniques employées sont plus furtives : les cybercriminels obtiennent discrètement un accès de haut niveau à Active Directory (c’est-à-dire aux « clés du royaume »), bénéficiant alors d’une liberté d’action et de mouvement totale sur le système. Ils peuvent dérober des informations et les revendre par la suite au plus offrant, tout en semant les germes d’une attaque de ransomware. Ainsi, une fois le ransomware activé, ils ont toujours la possibilité de réaliser des profits en revendant les données si l’entreprise refuse de payer la rançon. La malhonnêteté de certains est telle qu’ils revendront quoi qu’il arrive les informations pour accroître leurs gains ou les publieront simplement sur le dark web.

Il existe aujourd’hui de nombreuses nouvelles variantes de ransomware qui volent les données avant de les chiffrer. C’est par exemple le cas de Maze, Snatch, Zeppelin et REvil. Récemment, face aux réticences d’une victime à verser la rançon, le groupe de hackers à l’origine des attaques du ransomware REvil a commencé à mettre aux enchères les données volées.

Mieux vaut prévenir que guérir

Les entreprises doivent savoir exactement où sont conservées leurs données sensibles et en restreindre l’accès aux seules personnes qui en ont besoin. L’adoption du principe de "moindre privilège" limitera ainsi les possibilités de mouvement latéral des cybercriminels s’ils parviennent à accéder au réseau. Ce principe permet en outre de réduire l’accès aux données sensibles. Il convient également de mettre en œuvre des processus automatisés permettant de détecter les activités inhabituelles et de fermer les comptes compromis le plus rapidement possible pour limiter les dégâts.

Les entreprises ont également intérêt à établir des plans d’urgence détaillant les mesures à prendre en cas d’attaque de ransomware. Ces plans doivent fixer les modalités de poursuite du travail, et prévoir le déploiement d’une équipe chargée d’éviter que le ransomware ne cause davantage de dommages et de le supprimer du système.

Des sauvegardes rigoureuses sont la clé de tout plan d’urgence. Pour garantir la restauration des bons fichiers, les entreprises peuvent suivre l’activité du système des fichiers. De cette manière, elles sauront ce que le ransomware a chiffré et quand. La restauration des fichiers corrompus sera ainsi relativement simple. L’automatisation est en outre essentielle, car, une fois l’entreprise infectée, il est urgent d’empêcher la propagation du ransomware et le chiffrement des fichiers.

Outre le suivi de l’activité des fichiers, l’entreprise doit aussi surveiller, puis analyser les journaux d’activité, en particulier ceux portant sur les sauvegardes de données critiques. Grâce à l’automatisation, ces opérations s’effectuent en temps réel et avec une grande précision, l’équipe de sécurité étant alertée en cas d’anomalie symptomatique d’une attaque.

Les entreprises doivent intégrer l’idée qu’elles seront un jour ou l’autre la cible d’un ransomware et s’y préparer. À défaut, elles n’auront d’autre choix que de verser une rançon si elles veulent récupérer les clés du royaume.