Rançongiciels et dénis de service avec rançon : similaires, mais différents
This post is also available in:
Anglais
Allemand
Italien
Portugais - du Brésil
Espagnol
Russe
Depuis 2020, les rançongiciels et les dénis de service avec demande de rançon (RDoS) se multiplient, faisant la une des journaux presque toutes les semaines. Si les rançongiciels et RDoS poursuivent la même finalité et se ressemblent par certains aspects tactiques, leurs techniques et taux de réussite sont cependant assez différents, de même que la menace et l’impact potentiel pour les entreprises. Au fil du temps, ces menaces ont évolué et ont vu leur réputation et leurs techniques se renforcer mutuellement.
Rançongiciels
Les attaques par rançongiciel s’appuient sur un logiciel malveillant de type crypto-verrouilleur qui détruit les systèmes et rend les données inaccessibles. Pour fonctionner, ce logiciel malveillant doit être déployé sur les serveurs internes d’une entreprise. Les pirates doivent s’introduire dans le réseau ou dans un dispositif à l’intérieur du réseau, puis se déplacer latéralement pour impacter un maximum de systèmes et verrouiller le plus de données possible. Généralement, l’accès est fourni par des courtiers d’accès initial, des intermédiaires qui utilisent leurs propres méthodes pour pénétrer et envahir le réseau, puis vendent cet accès à d’autres pirates, principalement des groupes de rançongiciel ou des malfrats du même acabit.
Les attaques par rançongiciel rendent les systèmes inopérants et les données inaccessibles. Dans de nombreux cas, des données sensibles sont extraites, avec un risque potentiel de fuite d’informations.
DoS avec demande de rançon
Les attaques RDoS orchestrent un déni de service pour extorquer une rançon à leurs victimes. En perturbant le fonctionnement des services en ligne, elles peuvent se révéler dommageables pour l’activité, la productivité et la réputation d’une entreprise. Les pirates ciblent des ressources en ligne comme des sites Internet, des services de noms de domaine, des API web, des salons de jeux, etc. afin de rendre les services inopérants et de nuire à l’image de marque. Ces attaques peuvent également impacter la productivité en ciblant les communications vocales, les messageries électroniques et l’accès à distance des filiales ou des employés en télétravail. Autres cibles : la connectivité Internet nécessaire pour accéder aux applications cloud, et les usines de production qui dépendent de la connectivité pour les opérations à distance, et du cloud pour l’échange de données logistiques avec les applications de planification des ressources et les organisations externes.
Il est important de noter qu’en général, contrairement aux attaques par rançongiciel, les attaques RDoS et DDoS ne pénètrent pas les réseaux ou systèmes. Aucune donnée n’est volée ni compromise lors de ces attaques.
Une attaque RDoS commence par l’envoi par les pirates d’un message privé, par exemple un courrier électronique via un fournisseur de messagerie très discret, réclamant le paiement d’une certaine somme si l’entreprise ne veut pas devenir la cible de leur prochaine attaque. Si l’entreprise ne cède pas dans le délai imparti, les pirates donneront l’assaut et l’attaque DDoS continuera jusqu’au paiement de la rançon. Le montant va généralement croissant tant que la victime refuse de payer.
En réalité, les attaques DDoS ont tendance à s’arrêter d’elles-mêmes dès que le pirate constate que ses tentatives sont contrées. Elles se prolongent plusieurs heures, changent de vecteur pour tenter d’échapper aux systèmes de détection et d’atténuation, refont parfois surface plusieurs jours après des tentatives infructueuses, mais au bout du compte, les escrocs repartent souvent bredouilles.
(statistiques pour 2021, toutes les devises en USD) | Rançongiciels | DoS avec demande de rançon |
Objectif | Gain financier | Gain financier |
Tactique | Extorsion | Extorsion |
Technique principale | Crypto-verrouillage | Déni de service distribué (DDoS) |
Impact | Permanent (jusqu’à récupération) | Transitoire (tant que l’attaque dure) |
Devise de la rançon | Bitcoin | Bitcoin |
Moyenne des rançons demandées | 5,3 millions d’USD en moyenne [1] | De 5 000 à 1 million d’USD [2] |
Moyenne des rançons payées | 570 000 USD | ~ 0.0 USD |
Paiement le plus important | 40 millions d’USD [3] | 6 000 USD en 2015 [7] |
Taux de réussite | 70% [4] | Très faible |
Estimation des dommages | 1,85 million d’USD en moyenne [5] | 9 à 12 millions d’USD [6] |
Défense | Défense en profondeur, segmentation pour limiter l’impact, mais pas de solution miracle | Service de protection DDoS adéquat |
Rançongiciel : triple extorsion
Les techniques utilisées par les opérateurs de rançongiciel ont évolué et se sont diversifiées pour augmenter leurs chances de réussite. Les victimes étant mieux préparées et disposant de sauvegardes pour restaurer leurs systèmes après l’attaque par crypto-verrouillage, les pirates ont commencé à exfiltrer des données sensibles qui leur donneraient plus d’ascendant. Si la victime ne cédait toujours pas, ils la menaçaient d’attaques DDoS pour la ramener à la table des négociations.
Des pirates DoS se font passer pour des groupes de rançongiciel
La réussite, l’impact et la publicité qui entouraient ces demandeurs de rançon n’ont pas échappé à l’attention d’autres escrocs. Dans l’une des récentes campagnes RDoS visant des fournisseurs de VoIP au Royaume-Uni et au Canada, des pirates se sont fait passer pour « REvil », célèbre groupe de rançongiciel auteur d’attaques dévastatrices sur JBS SA et Kaseya Ltd. À l’image des opérateurs de rançongiciels qui annoncent leurs nouvelles victimes sur des blogs clandestins, des pirates RDoS se faisant passer pour « REvil » ont partagé leur lettre de rançon via Pastebin et extorqué l’une de leurs victimes, Voip.ms, en public sur Twitter, dans le but d’accroître les pressions.
Schéma 1 : Pirate se faisant passer pour « REvil » et formulant publiquement ses menaces sur Twitter.
[Sur le même thème :Comment réagir à une demande de rançon corrélée à une attaque DDoS]
Schéma 2 : Capture d’écran de la lettre de rançon partagée publiquement sur Pastebin par un pirate RDoS se faisant passer pour « REvil ».
Se défendre contre les rançongiciels et les DoS avec demande de rançon
Personnellement, je n’ai jamais vu d’attaque DDoS réussissant à passer à travers nos défenses. Cela dit, il y a toujours une courte fenêtre durant laquelle un mauvais trafic peut s’immiscer, le temps que les algorithmes de détection puissent élaborer des signatures automatisées pour le contrer et ajuster les signatures pour éviter les faux positifs qui bloqueraient le trafic légitime. Mais en règle générale, d’après mon expérience, il n’y a aucune raison de payer la rançon lorsqu’on est protégé par un service DDoS adéquat.
En revanche, il est très difficile de se protéger contre les rançongiciels et d’en venir à bout. Ces pirates ont soigneusement tissé leur toile dans les bas-fonds du net et sont très suivis par des hackers occasionnels qualifiés et escrocs du même acabit, trop heureux de toucher leur part du gâteau. L’appât du gain est le plus fort, et la demande de compétences et de ressources de piratage informatique clandestines ne cesse de croître depuis les grandes campagnes d’extorsion de fonds. Les pirates informatiques se laissent séduire par les primes alléchantes promises par les bandes organisées, et les attaques se désautomatisent au profit de l’intervention humaine. Se prémunir contre des robots, c’est une chose, mais c’en est une autre de se défendre contre l’ingéniosité humaine et l’opiniâtreté motivées par des récompenses de plusieurs millions de dollars.
Notes de bas de page et références
- Extortion Payments Hit New Records as Ransomware Crisis Intensifies (paloaltonetworks.com)
- Les demandes de rançon fluctuent. En 2020, des campagnes allaient jusqu’à réclamer 20 BTC, alors que d’autres plus récentes menées par un groupe se faisant passer pour le « Patriarche maudit » se sont contentées de 0,06 BTC.
- 81 Ransomware Statistics, Data, Trends and Facts for 2021 | Varonis
- Study: 70 Percent of Businesses Hit with Ransomware Paid the Ransom | Healthcare Innovation (hcinnovationgroup.com)
- The True Cost of Ransomware (backblaze.com)
- Bandwidth.com expects to lose up to $12M following DDoS extortion attempt – The Record by Recorded Future
- Update regarding the DDoS attack – ProtonMail Blog