La cyberattaque qui a touché il y a quelques mois Colonial Pipeline, principal opérateur américain d’oléoducs, a beaucoup fait parler d'elle, nouvelle preuve de la menace que font peser les ransomwares sur la sécurité d’un pays. Le gang DarkSide, auteur de cette attaque, qui a depuis cessé son activité, est l'exemple parfait d'une nouvelle génération d'opérateurs de Ransomware-as-a-Service (RaaS) qui intensifient, commercialisent et vendent leurs services à une armée de criminels, aussi bien novices qu'experts, et qui agissent au détriment de la sécurité publique et en dépit de toute crainte de poursuites judiciaires.
DarkSide, BlackMatter, qui sont ces groupes criminels ?
Le ransomware DarkSide a sévit depuis l'été 2020 jusqu'au printemps de cette année, en déployant des techniques très furtives qui échappent facilement à la détection, et en opérant des demandes de rançons élevées, comprises entre 200 000 et 2 millions de dollars. Le réseau, qui utilisant des outils avancés conçus sur mesure, semblait être basé en Russie ou en Europe de l'Est, des pays dans lesquels il est plus facile d'échapper aux repérages et aux poursuites. Depuis, certains membres de DarkSide ont formé un nouveau gang sous le nom de BlackMatter.
DarkSide et BlackMatter incarnent la nouvelle tendance du Ransomware as-a-Service (RaaS), une pratique grandissante depuis quelques années, grâce à laquelle les risques qui pèsent sur les entreprises sont décuplés, puisque le RaaS permet aux cybercriminels de mettre leurs ransomwares à disposition de n'importe qui, sans limite, sur un modèle flexible copié sur celui du SaaS. Les butins obtenus sont ensuite partagés entre les parties-prenantes, à savoir les opérateurs et les pirates qui ont effectivement procédé à l'attaque.
Comment se défendre contre ce type de menace ?
Si l'ambition de DarkSide était de viser plus particulièrement les grandes entreprises, aucune d'entre elles n'est vraiment à l'abri de ce type d'attaque. Pour y faire face, certaines pratiques sont particulièrement recommandées. Tout d'abord, améliorer les capacités de détection grâce à une visibilité totale de son environnement, une compréhension des composants qui s’y trouvent et une gestion des vulnérabilités par l'application de correctifs ou grâce à la segmentation du réseau. Il est essentiel de surveiller les modifications de configuration des systèmes et d'analyser en continu le trafic réseau pour détecter les comportements anormaux ou les signaux faibles pour pouvoir identifier des attaques, aussi discrètes soient-elles. Il y a beaucoup plus de chances que les opérateurs de ransomware se découragent et se tournent vers des environnements plus faciles à attaquer si leur cible initiale est bien renforcée et protégée.
Dans un second temps, il est primordial de s'assurer que les systèmes ICS sont entièrement surveillés, sauvegardés et isolables, pour augmenter la résilience face aux attaques par ransomware. En cas d'attaque, il suffit parfois de désolidariser les éléments critiques de l’infrastructure pour contenir la diffusion de la menace et éviter qu’elle se répande. Pour qu'un tel plan d’action soit possible, il faut avoir identifié en amont les systèmes opérationnels critiques que l'on peut isoler sans risquer un accident ou des arrêts inutiles. Dans certains cas, les systèmes ICS peuvent continuer à fonctionner malgré la récupération des systèmes informatiques. Il est également indispensable de collecter des informations détaillées sur l’endroit où l’attaque s’est produite, les mouvements latéraux des attaquants, les méthodes qu'ils ont utilisées pour garantir la persistance. L'ensemble de ces informations est très utile pour garantir la récupération du système et éviter la reprise de l’attaque. Il est également possible de limiter l'impact d'une attaque par ransomware si l'on sait déterminer le bon moment pour arrêter une usine ou si l'on est capable de maintenir sa production pendant que les efforts de récupération sont en cours.
Enfin, un travail sur la culture de cybersécurité de l'entreprise pour la faire évoluer vers une mentalité post-piratage peut avoir un impact positif considérable, renforcer la cyber-résilience et limiter l'impact d'une infection. En plus de mener ces efforts pour prévenir les violations, il faut à un moment donné se demander : "Nous avons été victimes d'une attaque... et maintenant ?". La planification des défaillances des systèmes critiques permet aux opérateurs de comprendre ce qu'il faut faire pour maintenir les opérations, en toute sécurité.
Par Vincent Dély, Director Technical Sales Engineering de Nozomi Networks