![\"Les](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-642396640-2-1024x576.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
La diversit\u00e9 des familles de ransomwares, des modes d\u2019intrusion ou des cibles touch\u00e9es rend la s\u00e9curisation des syst\u00e8mes toujours plus complexe. Retour sur les enseignements de l\u2019ann\u00e9e 2021.<\/strong><\/p>\n Le business des ransomwares ne s\u2019est (malheureusement) jamais aussi bien port\u00e9. Lors du FIC 2021, Jean-Thierry Calvet<\/strong>, responsable des op\u00e9rations de cyberd\u00e9fense \u00e0 l\u2019ANSSI, rapportait que les incidents dus \u00e0 ces logiciels malveillants \u00e9taient en hausse de 255% en France. Au niveau mondial, les attaques de ransomwares ont doubl\u00e9 en 2021, et 37% des organisations interrog\u00e9es par l\u2019International Data Corporation d\u00e9claraient avoir \u00e9t\u00e9 victimes d\u2019une attaque de ce type au cours de l\u2019ann\u00e9e. Mais quelles r\u00e9alit\u00e9s et tendances recouvrent aujourd\u2019hui le ph\u00e9nom\u00e8ne du ransomware<\/a>\u00a0? Toutes les entreprises sont-elles \u00e0 \u00e9galit\u00e9 face \u00e0 la menace\u00a0?<\/p>\n <\/p>\n Toujours au cours du FIC 2021, le capitaine Paul-Alexandre Gillot<\/strong>, du P\u00f4le Judiciaire de la Gendarmerie Nationale, s\u2019\u00e9tait livr\u00e9 \u00e0 un petit exercice comptable. Il faisait \u00e9tat de 28 familles de ransomwares actifs dans l\u2019Hexagone<\/strong>, quand le FBI en compte plus de 100 aux \u00c9tats-Unis<\/a>.<\/p>\n Certaines familles de ransomware se sont d\u00e9marqu\u00e9es par leur r\u00e9currence au cours des douze derniers mois. Babuk, par exemple, a \u00e9t\u00e9 utilis\u00e9 par le groupe de cyber-criminels du m\u00eame nom pour infiltrer plusieurs grandes entreprises en 2021. Et la fuite du logiciel d\u00e9velopp\u00e9 par le groupe a \u00e9galement particip\u00e9 \u00e0 sa popularit\u00e9, puisque d\u2019autres cyber-criminels peu exp\u00e9riment\u00e9s ont pu reprendre le ransomware \u00e0 leur compte. Atom Silo ou encore BlackMatter sont d\u2019autres exemples. Les op\u00e9rateurs de ce dernier ransomware, d\u00e9couvert fin juillet, ont s\u00e9vi durant environ trois mois, le temps d\u2019attaquer des entreprises dans le monde entier. Edouard Simp\u00e8re<\/strong>, Responsable Cyber Threat Intelligence chez Stormshield, souligne enfin le retour en force de REvil (aussi appel\u00e9 Sodinokibi) et de Ryuk sur cette ann\u00e9e 2021. Le premier, actif depuis 2019, a longtemps \u00e9t\u00e9 consid\u00e9r\u00e9 comme l\u2019un des plus difficiles \u00e0 d\u00e9tecter, et l\u2019un des plus rentables<\/a> pour les cyber-criminels. Son code source est r\u00e9guli\u00e8rement mis \u00e0 jour, afin de contrer les protections cyber. Heureusement, le d\u00e9mant\u00e8lement du groupe<\/a> par les autorit\u00e9s russes semble lui avoir port\u00e9 un coup d\u2019arr\u00eat.<\/p>\n Mais globalement, Edouard Simp\u00e8re constate que le fonctionnement de base de ces logiciels malveillants reste le m\u00eame<\/strong>. Car les deux types classiques de ransomwares, les Lockers qui bloquent le fonctionnement d\u2019un ordinateur et les Cryptos qui consistent \u00e0 chiffrer des donn\u00e9es et monnayer une cl\u00e9 de d\u00e9chiffrement en guise de ran\u00e7on, n\u2019ont pas fondamentalement \u00e9volu\u00e9. \u00ab\u00a0On retrouve donc des outils que l\u2019on observait d\u00e9j\u00e0 avant,<\/em> r\u00e9sume-t-il. En revanche, les moyens de p\u00e9n\u00e9trer les postes et syst\u00e8mes d\u2019informations peuvent changer<\/em>\u00a0\u00bb. Mais en quoi ces moyens d\u2019acc\u00e8s, communs aux diff\u00e9rentes familles de ransomwares, ont-ils \u00e9volu\u00e9\u00a0?<\/p>\n <\/p>\n Les portes d\u2019entr\u00e9e par lesquelles un ransomware<\/a> peut entrer sont (malheureusement) diverses, comme l\u2019expose ce sch\u00e9ma<\/a> \u00e9tabli par gouvernement n\u00e9oz\u00e9landais. Pas de surprise, le phishing est une des principales portes d\u2019entr\u00e9e<\/strong>. En r\u00e9cup\u00e9rant directement des identifiants, les cyber-criminels prennent ainsi la main sur un acc\u00e8s VPN ou une messagerie. Et il suffit qu\u2019un seul de vos collaborateurs tombe dans un tel pi\u00e8ge pour mettre \u00e0 mal tout le syst\u00e8me d\u2019information de l\u2019entreprise. En effet, les cyber-criminels auront rapidement fait de se d\u00e9placer lat\u00e9ralement jusqu\u2019\u00e0 mettre la main sur les pr\u00e9cieux droits administrateurs de l\u2019annuaire du domaine. Et derri\u00e8re les profils \u00e9vidents des dirigeants, tous les collaborateurs d\u2019une entreprise sont en fait des cibles en puissance<\/a> des cyber-criminels.<\/p>\n Mais les portes d\u2019entr\u00e9e sont parfois plus retorses, avec du social engineering<\/em>, ou plus directes, avec l\u2019exploitation de vuln\u00e9rabilit\u00e9s logicielles non corrig\u00e9es ou des e-mails pi\u00e9g\u00e9s. Autour de ce vecteur e-mail, les portes d\u2019entr\u00e9es des ransomwares se m\u00e9langent alors avec leurs m\u00e9thodes de diffusion. Comme dans l\u2019exemple de Ryuk, o\u00f9 un simple clic dans un e-mail va d\u00e9clencher un premier \u00e9l\u00e9ment, l\u2019injecteur, qui va lancer le t\u00e9l\u00e9chargement du logiciel malveillant lui-m\u00eame. Un exemple parmi d\u2019autres, tant \u00ab\u00a0ces portes d\u2019entr\u00e9es reposent sur l\u2019exploitation de vuln\u00e9rabilit\u00e9s dont l\u2019usage peut varier<\/em>\u00a0\u00bb, pr\u00e9cise Edouard Simp\u00e8re. Une \u00e9quation \u00e0 deux inconnues, avec X vuln\u00e9rabilit\u00e9s et Y fa\u00e7ons de les exploiter. Et depuis quelques ann\u00e9es, les m\u00e9thodes de diffusion des ransomwares se sont diversifi\u00e9es<\/strong>. D\u2019un c\u00f4t\u00e9, les \u00ab\u00a0classiques\u00a0\u00bb attaques non-cibl\u00e9es, spray and pray<\/em>, sont encore le premier vecteur d\u2019attaque dans\u00a0le barom\u00e8tre 2021 du CESIN. Mais elles \u00e9voluent\u00a0: si elles prennent toujours la forme de grandes campagnes d\u2019envois d\u2019e-mails \u00e0 travers le monde en misant sur une approche statistique, elles sont d\u00e9sormais beaucoup plus travaill\u00e9es que ce qu\u2019on pouvait observer il y a quelques ann\u00e9es. \u00ab\u00a0On est loin du mail Amazon avec des fautes presque \u00e0 chaque mot, <\/em>pr\u00e9cise \u00c9douard Simpere. La qualit\u00e9 est sup\u00e9rieure\u00a0: on trouve par exemple <\/em>des factures r\u00e9alistes avec une mise en contexte<\/em><\/a>, adress\u00e9e \u00e0 des comptables comme s\u2019il s\u2019agissait du mail d\u2019un client<\/em>\u00a0\u00bb. Depuis 2021, des cyber-criminels r\u00e9utilisent m\u00eame les historiques d\u2019e-mails vol\u00e9s, en relan\u00e7ant des conversations avec sujets et contenus d\u2019anciens \u00e9changes. Sans oublier d\u2019ajouter un fichier contamin\u00e9, bien s\u00fbr. Et d\u2019un autre c\u00f4t\u00e9, certains cyber-criminels optent pour une strat\u00e9gie beaucoup plus cibl\u00e9e. Ils d\u00e9cident ainsi de viser des entreprises sp\u00e9cifiques, \u00e0 l\u2019image de cette campagne d\u00e9tect\u00e9e en mars 2022 par une autre entreprise de cybers\u00e9curit\u00e9 et qualifi\u00e9e de \u00ab\u00a0cyberattaque chirurgicale\u00a0\u00bb<\/a> par L\u2019Expansion<\/em>.<\/p>\n On est loin du mail Amazon avec des fautes presque \u00e0 chaque mot<\/em>. La qualit\u00e9 est sup\u00e9rieure\u00a0: on trouve par exemple des factures r\u00e9alistes avec une mise en contexte, adress\u00e9e \u00e0 des comptables comme s\u2019il s\u2019agissait du mail d\u2019un client.<\/em><\/p>\n En parall\u00e8le, les petites et moyennes entreprises sont doublement scrut\u00e9es par les cyber-criminels. D\u2019un c\u00f4t\u00e9, elles sont des cibles \u00e0 part enti\u00e8re, car particuli\u00e8rement sensibles \u00e0 des interruptions d\u2019activit\u00e9. Et d\u2019un autre, elles servent encore aujourd\u2019hui de relais pour attaquer leurs partenaires commerciaux plus importants. Car face aux ransomwares, personne n\u2019est \u00e0 l\u2019abri<\/strong>. Et pour convaincre une entreprise infect\u00e9e de payer la ran\u00e7on, tous les moyens sont bons\u2026<\/p>\n <\/p>\n Car si la doctrine officielle est ne pas payer les ran\u00e7ons<\/a>, les cyber-criminels ne sont \u00e9videmment pas de cet avis. Et pour faire pencher la balance de leur c\u00f4t\u00e9, ils vont imaginer et mettre en place des moyens de pression compl\u00e9mentaires. En 2018, des donn\u00e9es patients d\u2019une vingtaine de centres finlandais de psychoth\u00e9rapie sont d\u00e9rob\u00e9s. Mais devant le refus de la soci\u00e9t\u00e9 victime de payer la ran\u00e7on pour les r\u00e9cup\u00e9rer, les cyber-criminels vont alors se tourner vers\u2026 les patients eux-m\u00eames, en les mena\u00e7ant de rendre ces donn\u00e9es publiques<\/a>. C\u2019est le d\u00e9but de la tendance de la menace de divulgation de donn\u00e9es<\/strong>. Un moyen de pression suppl\u00e9mentaire au chiffrement, voir alternatif d\u00e9sormais, pour forcer les entreprises (et particuliers) \u00e0 payer les ran\u00e7ons. \u00ab\u00a0Les cyber-criminels ont remarqu\u00e9 que certaines cibles r\u00e9sistent bien aux ransomwares<\/em>, explique Renaud Feil<\/strong>, CEO et cofondateur de Synacktiv<\/a>, entreprise sp\u00e9cialis\u00e9e dans les audits de s\u00e9curit\u00e9. Elles ont mis en place des backups efficaces. Il fallait donc trouver autre chose.<\/em>\u00a0\u00bb Concr\u00e8tement, cela se traduit par le ciblage d\u2019entreprises pour lesquelles les enjeux de r\u00e9putation et de confidentialit\u00e9 sont importants, comme des cabinets d\u2019avocats ou cabinets comptables. Et la menace peut \u00e9galement devenir une menace de chiffrer<\/strong>. Un nouveau proc\u00e9d\u00e9 innovant o\u00f9 les cyber-criminels vont demander une ran\u00e7on\u2026 pour ne pas chiffrer les donn\u00e9es. C\u2019est ici la r\u00e9compense sans l\u2019effort que cherchent les cybercriminels, en s\u2019appuyant uniquement sur la peur qu\u2019ils distillent \u00e0 leurs cibles. Rien ne dit qu\u2019ils seront en mesure de mettre leur menace \u00e0 ex\u00e9cution, mais prendriez-vous le risque\u00a0?<\/p>\nRansomware et jeu des 7 familles<\/h2>\n
Portes d\u2019entr\u00e9e, diffusion, cibles\u00a0: anatomie du ransomware<\/h2>\n
Edouard Simp\u00e8re<\/strong>, Responsable Cyber Threat Intelligence Stormshield<\/pre>\n<\/blockquote>\n
DDoS et divulgation de donn\u00e9es, moyens de pression compl\u00e9mentaires au ransomware<\/h2>\n