Quels risques géopolitiques des ransomwares ?

Le risque d'extension du conflit en Ukraine se ressent déjà par des attaques de cybercriminels ayant redéfini leurs cibles. Quelles en sont les répercussions pour les gouvernements du monde entier ?

Au cours du premier semestre 2022, le Costa Rica, le Pérou, le Mexique, l'Équateur, le Brésil et l'Argentine ont tous été la cible de groupes cybercriminels russophones tels que Conti. Tous ces pays avaient publiquement condamné la Russie à l'ONU pour l'invasion de l'Ukraine, et certains ont voté en faveur de sa suspension du Conseil des droits de l'homme de l'ONU. Parmi les cibles de cyber attaquants figurent le secrétaire d'État aux finances de Rio de Janeiro, la municipalité de Quito en Équateur, la République du Pérou et le Costa Rica. Au Costa Rica, l’état d’urgence national a été déclaré après que le gouvernement a qualifié une attaque paralysante d'acte de « cyberterrorisme ». Le groupe Conti, que l’État russe a soutenu de manière controversée après son invasion de l'Ukraine, a revendiqué la responsabilité de cette attaque, qui a entraîné la fuite de 97 % des 672 Go de données volées. Il aurait réussi à compromettre et à installer un logiciel malveillant sur un premier appareil en réseau appartenant au ministère des finances du pays, avant de récolter les informations d'identification d'un réseau privé virtuel (VPN) qui l'a mené jusqu'au trésor de données.

Cela représente une escalade significative de la gravité des attaques visant les organisations gouvernementales. Tout comme les établissements d'enseignement primaire et secondaire, les ONG et les organismes de santé, les gouvernements ont longtemps été hors de portée des affiliés aux ransomwares, désireux d'éviter la stigmatisation et l'examen minutieux des forces de l'ordre. Cette position semble avoir changé de manière radicale, ce qui pourrait avoir des conséquences pour les gouvernements du monde entier. Si ces groupes se sentent désormais motivés à cibler toute nation critique à l'égard de la Russie, nous pourrions assister au début d'une recrudescence spectaculaire des incidents mondiaux.

Des ransomwares visant des Etats-Nations

Il s'agit notamment d'une campagne iranienne de longue date contre le vieil ennemi albanais, qui s'est traduite par le déploiement, en juillet 2022, d'un système d'effacement de disque et de cryptage de fichiers qui a fait des ravages dans le pays. Les acteurs étatiques ont eu accès à un réseau gouvernemental albanais pendant au moins 14 mois avant l'attaque, période pendant laquelle ils ont volé et divulgué des documents sensibles. L'accès initial a été obtenu par l'exploitation d'une vulnérabilité de SharePoint. L'Albanie a pris la mesure sans précédent de rompre ses relations diplomatiques avec la République islamique à la suite de cet incident, qui a déclenché une nouvelle attaque en septembre 2022.

Les anciens États yougoslaves, le Monténégro et la Bosnie-et-Herzégovine, ont également fait l'objet de graves cyberattaques. La première est une campagne « persistante et continue » que le gouvernement monténégrin a d'abord imputée à des acteurs étatiques russes, avant de rejeter la responsabilité sur la variante du ransomware Cuba. La minuscule nation des Balkans a autrefois entretenu des liens étroits avec Moscou avant de rejoindre l'OTAN en 2017, et l'attaque a eu lieu après un vote de défiance critique à l'égard du gouvernement.

En septembre dernier, une autre attaque par ransomware a visé le gouvernement de la Bosnie-Herzégovine qui a été paralysé durant des semaines. Confrontés au site web du Parlement en panne et au serveur principal mis hors service, les législateurs ne pouvaient accéder à leur courrier électronique. Bien que l'attribution n'ait pas été faite jusqu'à présent, il est clair que la Russie a beaucoup à gagner en déstabilisant la région, soit directement, soit par l'intermédiaire des groupes cybercriminels qu'elle abrite.

Quelles techniques d’attaque

La plupart des organisations visées par la première vague d'attaques en Amérique latine semble avoir été touchée après que les acteurs de la menace ont mis la main sur des paires de justificatifs d'identité et des cookies de session compromis. Ils sont généralement obtenus par le biais d'infections ciblées de type « infostealer » lors d'attaques de phishing, et vendus par les IAB. Cela met en évidence l'immaturité relative de la posture de cybersécurité dans le secteur public et privé de la région. Cependant, l’hameçonnage de créances est un problème universel qui pourrait théoriquement toucher littéralement n'importe quelle organisation, quelle que soit sa posture de sécurité.

User des bonnes pratiques

Les gouvernements latino-américains devraient, à long terme, se tourner vers l'éducation, la formation et les programmes d'apprentissage pour contribuer à renforcer les ressources, à combler les lacunes en matière de cyber compétences et à attirer davantage de personnes dans le secteur. Simultanément, ils devraient, tout comme d’autres pays, renforcer leur résilience face aux ransomwares en adoptant une série de bonnes pratiques. Cela va de la vérification des plans d'intervention en cas d'incident à la validation du bon fonctionnement d'outils tels que les systèmes de détection des intrusions (IDS) et les systèmes de détection et de réponse des points d'extrémité (EDR). La segmentation du réseau est également importante car elle permet de contenir le « rayon d'action » d'une brèche et de protéger les joyaux de l'organisation une fois que les attaquants ont accédé au réseau. L'authentification multifactorielle peut contribuer à atténuer l'impact potentiel du vol d'identifiants, tandis que l'amélioration des correctifs est une bonne pratique essentielle en matière de cyber hygiène qui réduira le rayon d’action des attaques de l'entreprise.

Ces bonnes pratiques doivent être associées à des détections accrues et de meilleures réponses pour y remédier. Le renseignement sur les menaces, qui intègre les IoC (Indicateurs de Compromission) actuels des ransomwares et les fichiers de signature « Règles Sigma » liés aux ransomwares, combiné à la surveillance des identités et des certificats, permet également aux équipes de sécurité réseaux d’avoir toujours une longueur d’avance. Depuis le début de cette année, l'activité des ransomware semble avoir augmenté significativement par rapport à 2021. Selon une estimation de juin 2022, les détections pour le seul premier trimestre 2022 ont dépassé le total enregistré l'année précédente. Avec l'assombrissement de la situation géopolitique depuis février dernier et la rhétorique plus belliqueuse du régime de Poutine, les choses pourraient empirer avant de s'améliorer. Il n'a jamais été aussi important de bien comprendre le cyber-risque et la manière de le gérer.