Le modèle de ransomware russe peut-il se déployer mondialement ?

Premier hub de ransomware au monde, le modèle russe peut s'implanter dans plusieurs pays du monde entier. A moins que nous ne trouvions un moyen efficace de déstabiliser nos adversaires.

En 2017, les premiers ransomwares dévastateurs WannaCry et NotPetya se sont propagés très largement à travers le monde. Au cours des dernières années, les gangs de cybercriminels ont réalisé qu’ils pouvaient gagner encore plus d'argent en s’attaquant à de grandes entreprises et en leur demandant des rançons de plusieurs millions de dollars. Certains groupes ont perfectionné leurs activités, afin d’intégrer des techniques plus généralement associées à des acteurs d’APT (Advanced Presistent Threat), notamment via l’utilisation d’outils légitimes permettant de naviguer latéralement au sein des réseaux sans déclencher aucune alerte.

Le ransomware-as-a-service et le modèle affilié ont permis à de tout nouveaux groupes d’acteurs de perpétrer des attaques. Les criminels s’enrichissent, les victimes continuent à payer malgré le conseil des autorités (souvent financées par les polices d'assurance) et, plus important encore, l’État russe ferme les yeux sur ces activités. Résultat ? Depuis le début de cette année, le nombre de victimes de sites d'extorsion de ransomware a déjà dépassé celui enregistré en 2020. Et on estime qu’il représente seulement environ 10 % du nombre total de victimes.

Pourquoi les gangs de cybercriminels russes sont si prolifiques ?

Il ne s’agit pas seulement d’un État qui ferme les yeux sur leurs activités, tant que celles-ci sont dirigées vers l’étranger. Il est également question de disposer d’un très grand nombre de diplômés compétents en matière de technologie, héritage de l'époque soviétique, lorsque l’État faisait des matières scientifiques une priorité. Cette situation résulte aussi du fait qu’un grand nombre de ces individus ne parviennent pas à trouver un emploi bien rémunéré sans avoir de bons contacts. Cela est également dû à la prospérité de l’écosystème souterrain de la cybercriminalité, conçu sur la base de forums et de marchés du dark web dans leur langue maternelle, dans lequel les criminels peuvent se procurer de nouvelles TTP (Tactiques, Techniques et Procédures), vendre des données volées ou répondre à des annonces d’« emploi ».

Un modèle à suivre ?

Ce modèle russe pourrait se développer très facilement dans d’autres pays, ce qui représente un danger pour les entreprises aux États-Unis, en Europe et ailleurs. Prenons l’exemple de la Chine. Elle dispose de larges effectifs très qualifiés dans le domaine de l’informatique, d’une économie souterraine de la cybercriminalité très solide, et d’une autocratie plus que disposée à fermer les yeux sur les activités illégales, tant qu’elles sont orientées vers des cibles dans des pays stratégiques comme Taïwan, les États-Unis, le Royaume-Uni ou l’Australie, pour n’en citer que quelques-uns.

L’Iran a un profil similaire : des spécialistes bien formés, mais manquant d’opportunités pour mettre à profit leurs compétences et être correctement rémunérés. En outre, le gouvernement serait sans doute relativement satisfait de s'attaquer à un vieil ennemi : les États-Unis. Et ça ne s'arrête pas là. Prenons le Brésil. Le pays a longtemps été le foyer d’activités cybercriminelles, s'articulant principalement autour du piratage de données et des chevaux de Troie bancaires. Il en faudrait peu pour que le Brésil devienne un protagoniste du ransomware as-a-service. Il est peu probable que ce pays démocratique protège volontairement de tels criminels, mais tous les scénarios sont imaginables. Nous avons déjà été témoins de campagnes de ransomware sporadiques visiblement liées à des groupes cybercriminels chinois, iraniens ou brésiliens. Si l’on commence à observer une progression de ces activités émergentes, nous observerons probablement des activités cybercriminelles plus régulières et prospères.

Pouvons-nous les arrêter ?

La mauvaise nouvelle est que, jusqu’ici, les efforts diplomatiques visant à modifier les calculs géopolitiques russes ont échoué lamentablement. L’administration Biden a intensifié la pression exercée sur le Kremlin au cours des derniers mois, allant jusqu’à menacer de prendre des mesures unilatérales contre les groupes représentant une menace tels que REvil. Elle a d'ailleurs infligé des sanctions à certains groupes tels qu’Evil Corp et a soumis au Président Poutine une liste d’infrastructures essentielles à ne pas prendre pour cible. Peu de choses ont changé.

Des efforts similaires pour engager l’Iran et la Chine dans la lutte contre la cybercriminalité se sont traduits par des échecs. Après un accord passé en 2015 entre Barack Obama et Xi Jinping, la Chine s’est résolue à cesser toute activité de cyber-espionnage économique. Cela n’a duré que quelques semaines.

Quelles sont les chances d’observer une évolution ?

Il sera intéressant de voir quelles sont les conséquences des sanctions des États-Unis à l’encontre d’un échange de cryptomonnaie russe accusé de faciliter les paiements de rançons en faveur de groupes cybercriminels. Essayer d’arrêter un seul acteur ne suffira pas à empêcher de nouvelles attaques. En revanche, si le modèle semble fonctionner et crée un point névralgique qui décourage les acteurs malveillants dans leurs opérations pour recevoir et blanchir des fonds, il peut s’avérer intéressant d’approfondir l’idée. Le secteur de la cybersécurité, tout comme les conseils d’administration à travers le monde, attendent des nouvelles sur le sujet avec impatience.