Trilogie d’attaques DDoS avec demande de rançon
This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol Russe
Les attaques DDoS sont de plus en plus utilisées pour réclamer des rançons. Plutôt que d’infiltrer des ressources organisationnelles sécurisées, les attaquants lancent des attaques DDoS dévastatrices pour démontrer leurs capacités et demandent une rançon. Il est essentiel de comprendre la menace que représentent les attaques DDoS avec demande de rançon pour élaborer un plan de mitigation efficace.
Notre histoire commence en août 2020 et se déroule sur plus d’un an, en trois épisodes. Les voici :
Épisode I
En août 2020, nous avons observé la première vague de cyber-extorsions, au cours de laquelle le « groupe Lazarus » a ciblé des entreprises financières, de voyage et d’e-commerce en leur envoyant un e-mail de demande de rançon, les sommant de payer 10 bitcoins (environ 90 000 euros à l’époque). Quelques heures après avoir reçu le message, les entreprises ont été frappées par des attaques DDoS dépassant 200 Go/s pendant plus de neuf heures, ce qui a entraîné une grave perturbation de leurs services.
Dans leurs messages (voir ci-dessous), les escrocs donnaient à leurs victimes sept jours pour acheter les bitcoins et payer la rançon avant que ne soient déclenchées leurs attaques DDoS. Mais pour chaque jour de retard, la rançon était augmentée d’un bitcoin.
Exemple de message envoyé par Fancy Lazarus à ses cibles.
Épisode II
En janvier 2021, nous avons assisté à une deuxième vague d’extorsions. Les cybercriminels ont envoyé de nouveaux e-mails d’extorsion qui disaient : « Vous nous avez peut-être oubliés, mais nous ne vous avons pas oubliés. Nous étions occupés à travailler sur des projets plus rentables, mais nous voilà de retour. » Cette fois-ci, ils demandaient 5 bitcoins, (1 bitcoin cotait alors plus de 25 000 euros).
La leçon est claire : ne payez pas de rançon ! Si vous payez, vous serez à nouveau ciblé, encore et encore…
Épisode III
À partir de juin 2021, une nouvelle vague de cyber-extorsions a commencé à cibler tous les secteurs, en commençant par les FAI et les FSC danois et irlandais. Le groupe a changé son nom en « Fancy Lazarus ». La rançon demandée était beaucoup plus modeste et variait selon la taille de l’entreprise victime entre 0,5 ₿ (65 000 €) et ₿5 (160 000 €). Les attaques qui ont suivi ont atteint 200 Go/s.
Au fur et à mesure de l’évolution des attaques DDoS, nous avons observé de nouvelles tactiques où les attaquants traquaient les ressources non protégées, notamment celles du Cloud public, attaquaient les services DNS et saturaient les liens. Ceci démontre que les pirates se préparent à l’avance en apprenant les points faibles de leurs futures victimes.
Les témoignages des victimes touchées par les attaques menées dans le cadre de cette campagne d’extorsion confirment que la plupart d’entre elles comptaient sur leur FAI ou leur FSC pour se défendre contre les menaces DDoS. Elles n’étaient toutefois pas préparées à des attaques DDoS de grande envergure avec différents vecteurs d’attaque, notamment des attaques DDoS visant les applications.