Le retour de la rançon par DDoS

Le CERT-FR, centre national dédié aux attaques informatiques, mettait déjà les entreprises françaises en garde contre les attaques en déni de service (DDoS) en 2020 et appelait à la plus grande vigilance face à la menace montante des extorsions de fonds. Ces attaques DDoS par rançon ou "RDoS" connaissent un regain de popularité et constituent aujourd'hui un enjeu bien réel pour les entreprises.

 Une méthode testée et éprouvée  

Le principe d’une attaque RDoS peut être comparé à un enlèvement de personne ou un vol de voiture contre rançon, tel que cela se pratique par exemple dans certains pays : les criminels ne s’intéressent pas vraiment à la personne kidnappée, ni à la voiture, mais ils utilisent le vol comme moyen de pression pour extorquer une somme d'argent relativement faible. Ils répètent ensuite cette opération plusieurs fois auprès de plusieurs victimes.

Dans le cas du RDoS, les criminels s’attaquent méthodiquement à un certain nombre de contacts ou organisations susceptibles de payer face au risque d’être la cible d’une attaque DDoS d’envergure s’ils ne s’exécutent pas immédiatement. Bien souvent, cette menace de mettre l’entreprise hors ligne le lundi tombe le vendredi soir, quand peu de personnes sont encore disponibles et que l’option de payer une faible rançon sans alerter toute l'entreprise sera souvent privilégiée. Une "petite" attaque est parfois envoyée pour prouver que la menace est bien réelle.

Les criminels privilégient les attaques DDoS car le prix du ticket d’entrée est faible et les campagnes peu coûteuses à exécuter, (dès 5€ dans certains cas). Cependant, ces pirates se limitent bien souvent à des attaques à petite échelle - jusqu'à 1 Tbps, pour s’éviter trop de frais. Certes, ils reçoivent une somme peu élevée mais gagnent grâce au nombre d’attaques perpétrées, les entreprises cédant plus facilement au chantage plutôt que d’avoir à gérer les nombreux impacts d’une attaque DDoS, que ce soit en termes de temps d'arrêt d’activité et de coûts d'assistance notamment. Les cyberpirates, finalement très opportunistes, s’épargnent du temps et des efforts à élaborer une menace potentielle. Pragmatiques, ils utilisent des modèles de menaces par mail, actionnables en quelques instants, quitte à spammer d'innombrables organisations qui ne sauront jamais si elles sont confrontées à une véritable attaque ou non.

Des criminels à l’appétit grandissant mais à l’implication minimale

Bien que les attaquants tendent jusqu’ici à exiger des montants peu élevés pour avoir un retour rapide sur investissement, on assiste cependant à une augmentation des attaques, dont les rançons se font en bitcoin et dont les montants varient à mesure que sa valeur fluctue. En 2015, l’entreprise européenne Protonmail s’est vu demander une rançon d’environ 20 bitcoins, ce qui ne représentait alors que 5 000 €. En 2020, les rançons demandées à des entreprises européennes atteignaient 10 bitcoins, soit 90 000 €. Aujourd’hui, ce montant se rapprocherait des 330 000 €. Il ne s'agit plus d’actes criminels à faible risque et à faible rançon, mais de hold-ups de grande envergure, où le risque est si grand qu’il gagne en visibilité au sein de l'entreprise et que l’entreprise décide de ne pas payer.

Le secteur de l'hôtellerie et de la restauration, qui a dû abandonner le service en salle et fermer ses lits en raison de l'épidémie COVID-19, a été particulièrement touché. L'augmentation de la demande de livraison à domicile a créé des opportunités en or pour les cybercriminels qui s’en prennent désormais aux sociétés de services en ligne. Takeaway.com, un service de livraison de plat à domicile basé en Allemagne, a ainsi été victime d'une attaque DDoS en mars 2020, les cybercriminels exigeant deux bitcoins pour mettre fin à l'attaque, soit 9 000€ en une seule attaque.

Protéger et atténuer les risques

Le travail à distance étant voué à perdurer, il est indispensable de mettre en place des contrôles visant à limiter les impacts des attaques, car la conception en étoile (hub and spoke) des organisations et leur dépendance croissante à l'égard des VPN, en font des cibles de choix pour les attaques DDoS. Dans la configuration actuelle du travail, la menace du démantèlement d'un serveur VPN peut aboutir à une incapacité totale de travailler pour toute une entreprise. Cette perspective est trop lourde à porter pour la plupart des entreprises, et les criminels le savent.

En raison de l'augmentation de la taille de ces attaques, les dirigeants ne sont pas en mesure d’en atténuer les effets en temps réel. Mieux vaut se concentrer sur des mesures proactives de limitation des risques capables de stopper instantanément les attaques grâce à des solutions cloud situées à la périphérie de leur réseau (edge computing). Qu'il s'agisse d'une solution hébergée ou à la demande, il est essentiel de travailler avec un fournisseur qui dispose de la plateforme et de l'expérience nécessaires pour résister à des attaques de cette ampleur.

Les périodes de crise créent des opportunités pour les cybercriminels lesquels préparent déjà leurs nouvelles armes. N’oublions pas que la plupart des criminels ne s’intéressent qu’aux gains rapides. En prenant les bonnes mesures d'atténuation des attaques DDoS dans le cloud, une entreprise évite d’être une proie facile et les criminels s’en détourneront d’autant plus lors de leur prochaine vague d'attaques RDoS.