1ère partie : Portrait-robot d’une attaque

Qu’est-ce qu’une attaque de ransomware ?

Le terme « ransomware » est désormais connu de tous ceux qui disposent d’une connexion Internet. Les différents types d’attaques par ransomware sont peut-être moins connus, ou leur fonctionnement interne, « ce qu’il y a sous le capot ». Voici un portrait-robot d’une attaque de ransomware.

Le premier concept à retenir est le suivant : une attaque par ransomware ne se produit pas simplement. De multiples étapes sont nécessaires pour qu’une attaque par ransomware réussisse.

Il existe deux types d’attaques par ransomware : les attaques opportunistes et les attaques ciblées.

Les attaques opportunistes s’expliquent d’elles-mêmes : elles sont « opportunistes ». Elles ne sont pas aussi élaborées, ni aussi rentables.  Elles peuvent prendre la forme d’une distribution de ransomwares en masse, en utilisant des tactiques dites « spray and pray » (comme le phishing, l’ingénierie sociale et les kits d’exploitation). Un bon exemple d’une attaque de ransomware opportuniste est le WannaCry de 2017.   

Les attaques aléatoires offrent également moins de garantie aux attaquants. C’est pourquoi l’une des principales différences entre les attaques opportunistes et les attaques ciblées est le montant de la rançon demandée ; pour WannaCry les pirates demandaient entre 300 et 600 dollars.

Les attaques ciblées sont bien plus rentables, et bien plus dévastatrices pour les organisations. Lisez la suite pour savoir comment se déroulent ces dernières.

Une attaque ciblée désigne un type de menace dans lequel les acteurs de la menace poursuivent activement et compromettent l’infrastructure d’une entité cible tout en conservant l’anonymat. Ces attaquants ont un certain niveau d’expertise et disposent de ressources suffisantes pour mener leurs stratagèmes sur une longue période. Ils peuvent adapter, ajuster ou améliorer leurs attaques pour contrer les défenses de leur victime.

La plupart de ces attaques utilisent le modèle « Ransomware-as-a-Service » (RaaS) : les principales bandes criminelles à l’origine de la quasi-totalité des attaques par ransomware proposent leurs services de ransomware et de personnalisation à un réseau d’affiliés dont la seule tâche consiste à distribuer le code malveillant pour infecter le plus grand nombre de systèmes. Ils conservent ensuite une fraction de la rançon pour eux-mêmes, normalement entre 10 à 25 % de la rançon payée par les victimes.

Un autre modèle économique est également en jeu : Access-as-a-Service (AaaS).

Au cœur du modèle AaaS se trouvent les marchés de l’accès à distance, des magasins en ligne qui permettent à leurs clients de vendre / acheter / échanger des informations d’identification pour accéder à des sites et services Web compromis. C’est ainsi qu’un groupe d’affiliés d’un modèle RaaS peut acheter les informations d’identification permettant d’accéder à une organisation précédemment compromise par un autre groupe criminel.

En combinant les modèles RaaS et AaaS, il devient très facile pour un groupe criminel sans compétence particulière d’acheter un ransomware, qui est ensuite implanté dans les réseaux d’une entreprise pour laquelle les identifiants de connexion étaient disponibles dans le monde souterrain criminel. 

Comment fonctionnent-elles réellement ?

Parfois appelée « chasse au gros gibier », ce type d’attaque est plus proche de la relation entre le chasseur et la proie.

Les pirates sont très créatifs. Ils se donnent beaucoup de mal pour comprendre les composantes technologiques d’une victime afin de pouvoir identifier et exploiter les vulnérabilités, tout en repérant les données les plus précieuses à crypter et à rançonner.

Ils sont également extrêmement patients, escaladant les privilèges pour contourner les systèmes de sécurité et échapper à la détection. Pendant ce temps, les pirates ciblent souvent les sauvegardes de données (si elles existent) afin que l’organisation ne puisse pas restaurer les fichiers après qu’ils ont été cryptés.

Correctement exécutées, les attaques ciblées de ransomware peuvent prendre des semaines, voire des mois, pour être mises en place après l’intrusion initiale. La première caractéristique des attaques ciblées par ransomware est qu’elles prennent du temps. Elles ne se produisent pas du jour au lendemain, et ce parce que les victimes passent par un processus de sélection.

Les pirates commencent par trouver un moyen d’entrer dans le système d’une organisation en utilisant des informations d’identification valides. Cela se fait souvent par le biais d’un schéma de phishing ou d’ingénierie sociale.

Les criminels entrent dans un réseau avec des informations d’identification compromises et valides. C’est la partie facile !

Une fois à l’intérieur, le pirate se déplacera ensuite latéralement, en trouvant des moyens d’exploiter les vulnérabilités qui permettront une escalade des privilèges.

Une fois le niveau d’accès souhaité atteint, l’étape suivante consiste à exfiltrer les données qu’il juge précieuses pour l’organisation ciblée. En fonction de la valeur estimée de ces données, ils déploient ensuite le rançongiciel pour crypter les fichiers et exiger de lourdes rançons.

Ils ne pourraient pas s’attendre à ce que de telles rançons soient payées s’ils n’avaient pas soigneusement sélectionné leur victime. Non seulement ils connaissent tous les mécanismes de défense de l’organisation, mais ils ont également accès à des informations financières, sachant ainsi que l’organisation aura les moyens de payer la rançon.

Ce processus peut se dérouler sur des semaines, voire des mois. Pendant ce temps, les affaires continuent comme si de rien n’était, le personnel de sécurité n’étant trop souvent pas au courant, tandis que les pirates observent et élaborent des stratégies.

Suivez AbileneAdvisors pour ne pas manquer la 2e partie de cette série !