Depuis leur explosion il y a une dizaine d’années, les ransomwares n’ont cessé d’évoluer et de s’adapter, si bien qu’ils représentent aujourd’hui la menace n°1 pour la plupart des entreprises. En effet, selon un récent rapport de CyberThreat Defense - basé sur les réponses de 1200 spécialistes de la sécurité basés dans 17 pays différents, trois quarts des entreprises ont été visées par une attaque par ransomware en 2021. D’attaques isolées menées par quelques individus, la menace est passée en quelques années à un tout nouveau niveau. Il existe désormais un véritable « marché du ransomware ». Le rapport Crypto Crime Report de ChainAnalysis estime d’ailleurs qu’il y a eu, en 2021, environ 700 millions d’euros de paiement en crypto monnaies liées aux ransomwares. Des développeurs malveillants proposent des services de Ransomware-as-a-Service (RaaS). Il suffit alors aux acheteurs d’indiquer des caractéristiques voulues (telles que l’algorithme de chiffrement, le fond d’écran des machines compromises ou encore le message de rançon) et de payer pour obtenir une charge malveillante personnalisée. Les organisations malveillantes sont également plus élaborées que jamais, avec pour les plus développées des services support qui accompagnent les victimes pour récupérer leurs données - contre rançon.

Techniquement, le principe est resté le même mais…

Après s’être introduit dans le système d’information cible, l’attaquant utilise depuis tout temps des techniques de déplacements latéraux et d’élévations de privilèges pour compromettre l’entièreté du parc - avant de déclencher le déploiement de l’outil de chiffrement. En quelques heures (voire minutes aujourd’hui), toutes les données peuvent être chiffrées. Toutefois, récemment, une évolution a pu être observée. Avant de chiffrer les données, certains groupes d’attaquants les exfiltrent et appliquent ainsi un modèle de « double extorsion », réclamant ainsi deux rançons : la première pour déchiffrer la donnée et la seconde pour ne pas la diffuser sur Internet (ou la vendre au plus offrant). On retiendra notamment le tristement célèbre groupe Lockbit 2.0 qui a pour habitude de faire des annonces officielles quelques jours avant de publier les données collectées - dans le but de forcer la main des victimes pour le paiement de la rançon.

Des mécanismes de sauvegarde des données permettent évidemment de recouvrer ses fichiers sans avoir à payer la rançon - même s’ils ne résolvent malheureusement pas le problème de l’exfiltration de données. Les attaquants cherchent maintenant à supprimer ces backups avant d’effectuer le chiffrement. Sachant cela, il est primordial pour les entreprises et organisations de toutes tailles d’opter pour une sauvegarde à froid - inaccessible depuis l’environnement de production. Effectivement, encore aujourd’hui, trop d’entreprises ne décorrèlent pas leurs sauvegardes du reste du système d’information. Dans cette configuration, un compte avec des droits élevés sur l’Active Directory (Administrateur du Domaine ou équivalent) pourra généralement accéder aux sauvegardes pour les supprimer ou les chiffrer.

En plus de viser les sauvegardes, certains attaquants ont développé leurs rançongiciels dans des langages multi-plateformes (BlackCat, par exemple, a développé son ransomware en Rust), leur permettant d’être exécutés de la même manière sur Windows, Linux, MacOS et même iOS et Android. Le ransomware Conti a aussi été détecté sur certains cas de chiffrement de solutions d’hypervision de VMWare (ESX) - paralysant ainsi le système d’information à un niveau encore supérieur.

Et les victimes dans tout ça ?

Si nous observons les cibles, une tendance se dégage : toutes les tailles d’entreprises sont maintenant visées, et même parfois des particuliers ! Ils sont aussi « utilisés » dans des conflits géopolitiques - comme armes de guerre. Cela a d’ailleurs été remarqué dans le conflit entre la Russie et l’Ukraine - où certains groupes d’attaquants, financés par des États ou non, ont pris officiellement partie (comme le groupe Conti).

En réaction, de plus en plus d’entreprises se dotent de solutions de détection et protection avancées, tels que des EDR - pour Endpoint Detection and Response, solutions de protection sur les terminaux - ou des SIEM - pour Security Information and Event Management, outils permettant de lever des alertes de sécurité via la corrélation de fichiers journaux (log). Mais il ne faut pas oublier que le point d’entrée le plus utilisé par les attaquants reste les utilisateurs finaux.  Une protection mature contre les ransomwares passe donc également par des campagnes de sensibilisation auprès de l’ensemble de ses collaborateurs. Il est impératif de former tous les utilisateurs sur les risques liés à la cybersécurité, tels que les mails de phishing ou la réutilisation de mots de passe potentiellement compromis.

Quelles sont les réponses des gouvernements vis-à-vis de ces multiples menaces émergentes ?

Le gouvernement français a proposé, en mars 2022, le projet de loi LOPMI. Entre autres, celui-ci vise à obliger les entreprises à porter plainte si elles souhaitent payer une rançon dans le cadre d’une attaque informatique. Même si cette loi ne va pas protéger directement les entreprises, elle permettra un suivi beaucoup plus clair et précis des tendances en matière d’attaque. D’un point de vue défense, une stratégie nationale d’accélération cybersécurité - dotée d’un budget de plus d’un milliard d’euros - a été lancée, en février 2021, afin de former davantage les jeunes et professionnels, de sensibiliser tous les Français, de développer des solutions souveraines et innovantes de sécurité informatique et renforcer les collaborations entre tous les acteurs cyber français.

À l’international, la lutte s’organise également - par exemple au travers du projet NoMoreRansom. Lancé en 2021 - par Europol et quelques acteurs cyber, son but est de fournir des outils de déchiffrement pour certains ransomwares dont les clés ont été cassées ou rendues publiques. Ces outils sont accessibles directement via leur site web nomoreransom.org. De nouvelles clés y sont régulièrement publiées pour aider les victimes de ransomwares à reprendre le contrôle sur leurs données. Cette initiative s’inscrit dans une recommandation que font tous les spécialistes de la sécurité : il est important de ne pas payer de rançon pour déchiffrer les fichiers corrompus. Les principales raisons étant qu’en plus d’offrir ainsi plus de moyens financiers aux attaquants, cela les encourage dans leurs démarches malveillantes.

Les ransomwares et leurs utilisateurs évoluent beaucoup au fil du temps, pour devenir de plus en plus menaçants et viser de plus en plus de victimes. Seule une défense en profondeur à chaque niveau du système d’information peut permettre de les contrer et d’assurer la sécurité de vos données. Cela passe notamment par une sécurité périmétrique renforcée sur des équipements réseau à jour, des solutions de surveillance et protection sur tous les éléments du système d’information (Active Directory, serveurs applicatifs et postes de travail) et des architectures cloisonnées. Il est également nécessaire de prévoir le pire, et préparer et tester des Plans de Reprise d’Activité (PRA) - dont la pierre angulaire est une sauvegarde des données totalement isolée du reste du système.

Par Pierre Tabary, consultant en sécurité opérationnelle chez Synetis