Les cybercriminels ne connaissent pas la crise : les attaques par rançongiciels se sont multipliées ces derniers mois. Mais en plus d’être nombreuses, les attaques évoluent. Les cybercriminels ont au fil du temps affiné leurs tactiques pour créer un double schéma d’extorsion.
En juillet 2021, la société Kaseya a été victime d’une attaque par rançongiciels ce qui a entraîné le blocage des systèmes de milliers de victimes dans au moins 17 pays. Les hackers ont initialement exigé une rançon d’un montant total de 70 millions de dollars. C’est le dernier exemple d’une attaque réussie, et retentissante, par rançongiciel. La précédente attaque d’une entreprise d’envergure remontait à mai 2021, avec la prise en otage des données de la firme Colonial Pipeline a contraint celle-ci à interrompre l’approvisionnement en essence d’une grande partie de la côte est des États-Unis, ce qui a entraîné des pénuries dans tout le Sud. C’est dire que les attaques d’envergure et réussies se sont multipliées ces derniers mois.
À plusieurs reprises au cours des 12 derniers mois, des attaques de type rançongiciels ont entraîné l’arrêt d’importants secteurs de l’économie américaine. D’après une étude de Barracuda Networks, ces types d’attaques ont fait un bond en 2021, le nombre d’attaques augmentant de façon spectaculaire et le montant des rançons continuant à monter en flèche. Les cybercriminels élargissent également leurs cibles, en se concentrant sur les infrastructures critiques et en évoluant vers des campagnes d’attaque de la chaîne d’approvisionnement.
Une poignée de gangs très en vue
Les chercheurs de Barracuda ont identifié et analysé 121 incidents liés aux ransomware survenus entre août 2020 et juillet 2021. Ils ont constaté une augmentation de 64 % des attaques, d’une année sur l’autre. Le rapport affirme qu’un « grand nombre de ces attaques est menée par une poignée de gangs très en vue. Notre analyse des attaques de ransomware survenues entre août 2020 et juillet 2021 montre que REvil est à l’origine de 19 % des attaques, et que DarkSide est connu pour être à l’origine de 8 % d’entre elles », explique-t-il.
Les attaques sur des actifs comme les infrastructures, les voyages, les services financiers et d’autres entreprises, ont représenté 57 % de toutes les attaques de rançongiciels sur la période précitée, contre seulement 18 % dans l’étude de 2020. Les entreprises liées aux infrastructures représentent 11 % de toutes les attaques étudiées. En fait, les attaques par ransomware évoluent rapidement vers des attaques de la chaîne logistique logicielle, qui atteignent davantage d’entreprises en une seule tentative.
Des attaques sophistiquées et évolutives
Le déroulement de ces attaques est toujours le même : les cybercriminels utilisent des logiciels malveillants, souvent livrés sous la forme d’une pièce jointe ou d’un lien dans un courriel, pour infecter le réseau et verrouiller les courriels, les données et d’autres fichiers essentiels jusqu’au paiement d’une rançon. De plus, les modes d’attaque des rançongiciels évoluent également. Au lieu de se contenter de liens et de pièces jointes malveillants pour diffuser les charges utiles, les cybercriminels renforcent leurs tactiques.
Tout d’abord, les attaquants trouvent des moyens de voler des informations d’identification par le biais d’attaques par rançongiciels, puis ils utilisent les informations d’identification volées pour attaquer les applications Web utilisées par la victime. Une fois l’application compromise, l’attaquant peut introduire un ransomware et d’autres logiciels malveillants dans le système. Ces derniers peuvent ensuite infecter votre réseau ainsi que les utilisateurs de votre application.
En plus d’être nombreuses, les modes d’attaques sont évolutifs également. Ils s’adaptent. Les cybercriminels ont au fil du temps affiné leurs tactiques pour créer un double schéma d’extorsion. Ils identifient les données sensibles de l’entreprise hackée puis menacent de publier ou vendre ces données. Cette menace devient récurrente et, plusieurs mois après, il est demandé à l’entreprise de payer à nouveau pour garder secrètes les données volées. Certains pirates acceptent le paiement, mais vendent quand même les données.