Ransomware : qui sont les auteurs d'attaques et comment les rechercher ?
Les auteurs de ransomware tentent d'agir discrètement grâce aux cryptomonnaies mais des outils permettent de déchiffrer les méthodologies des cybercriminels, notamment sur la façon dont ils encaissent les revenus illicites.
Aujourd'hui, les ransomwares sont un problème très répandu. Ces dernières années, nous avons observé que ces attaques s'étaient perfectionnées en adoptant une approche plus ciblée qui amènent à des coûts plus élevés pour les victimes. Ainsi, le montant moyen des rançons payées est passé de 25 000 dollars en 2019 à plus de 118 000 dollars en 2021.
Au total, on estime à plus de 602 millions de dollars le montant versé aux ransomwares l'année dernière. De plus, ce montant est sans doute sous-évalué puisque les victimes de ransomware ont tendance à ne pas déclarer l'intégralité des rançons qu'ils ont dû payer.
Les auteurs de ransomware tentent d'agir discrètement grâce aux cryptomonnaies mais des outils permettent de déchiffrer les méthodologies des cybercriminels, notamment sur la façon dont ils encaissent les revenus illicites.
Qui se cachent derrière les attaques par ransomware ?
La première grande catégorie d'auteur de ransomware sont les groupes criminels organisés. Ils opèrent principalement en Europe de l'Est via des spams capables de diffuser rapidement des logiciels infectés et des virus à des centaines de milliers de victimes. Les groupes de criminels agissent souvent depuis une infrastructure hautement automatisée afin de gérer la mise en place de virus, les paiements et le blanchiment d'argent.
Ils poursuivent une stratégie d'attaque à fort volume et à faible valeur monétaire en exigeant de petites rançons à un grand nombre de victimes. De plus, le modèle organisationnel de dans ce type d'attaques bénéficie largement du réseau du crime organisé dans lequel il existe déjà des mécanismes de blanchiment bien rodés.
Parmi les auteurs d'attaques par ransomware, on retrouve également les acteurs étatiques. Les ransomwares d'État proviennent généralement de pays lourdement sanctionnés tels que la Corée du Nord, l'Iran et la Russie. Ils opèrent pour diverses raisons, non seulement pour voler des fonds, mais aussi pour semer le chaos dans d'autres pays.
Prenons l'exemple de l'attaque par ransomware NotPetya menée par la Direction Générale des Renseignements (GRU) de l'État-Major des Forces armées de la Fédération de Russie. Au vu du grand nombre de victimes ukrainiennes, il semble que l'objectif premier de NotPetya était le sabotage et la perturbation géopolitique puisqu'aucun mécanisme de paiement exploitable n'a été développé.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
L'évolution des ransomwares et les victimes de ces attaques
Au cours des dernières années, les entreprises et les particuliers ont pris des mesures pour se protéger contre les ransomwares en installant des correctifs logiciels, en se formant aux procédures de sécurité simples et en déplaçant les fichiers importants vers des services de stockage dans le cloud. Les groupes criminels organisés et les acteurs étatiques ont alors fait évoluer leur approche avec des attaques par ransomware plus stratégiques et ciblées permettant d'escroquer plus d'argent.
Mais qui sont les victimes de ces nouvelles attaques ? Il y a d'abord les professionnels des institutions financières de taille moyenne, dont la sécurité est quelquefois plus laxiste. En Russie, des comptables ont récemment été visés par des campagnes de fausses publicités, appelées « malvertising », sur des sites web consultés dans le cadre de leur profession. Les cybercriminels ciblent également les organisations gouvernementales telles que les hôpitaux pour accéder à des données sensibles, telles que des informations sur les programmes de protection de la police.
Les organisations dont les systèmes sont peu sécurisés ou faciles à pirater sont ciblées. Ici il s'agit notamment des établissements d'enseignement dont les budgets consacrés aux systèmes de sécurité informatique sont limités et dont les services des ressources humaines sont accessibles par le biais de demandes d'emploi fictives.
Enfin, il y a les organisations dont les données peuvent être transformées en cibles attrayantes pour les acteurs étatiques, tels que les agences gouvernementales, les entreprises du secteur de la défense, les consultants gouvernementaux et les campagnes électorales. Si certains cybercriminels souhaitent accéder à des fichiers sensibles, d'autres veulent simplement supprimer des données pour semer le désordre.
Par exemple, NotPetya s'est rapidement propagé parmi les entreprises ukrainiennes et a effacé les données de déclaration fiscale. Les filiales ukrainiennes de multinationales comme FedEx et Maersk ont ensuite propagé l'attaque à l'échelle mondiale, amplifiant ainsi les dégâts.
Enquêter sur les attaques par ransomware pour s'en prémunir
En suivant l'argent après une attaque, il est possible d'identifier les méthodes des auteurs de ransomware et les stratégies destinées à perturber certaines activités. Très souvent, ce sont les plateformes qui reçoivent le plus de cryptomonnaies.
Ensuite, on retrouve les mixeurs qui servent à mélanger des fonds de cryptomonnaie obtenus de manière illégale avec d'autres fonds.
Enfin, il y a les plateformes d'échanges peer-to-peer (P2P), qui consistent en un modèle d'échange en réseau décentralisé où les entités sont à la fois le rôle de client et de serveur. Une fois la destination des fonds identifiée, les forces de l'ordre peuvent assigner à comparaître l'entreprise impliquée afin de remonter jusqu'aux criminels à l'origine de l'attaque.
Les hackers se concentrent sur les échanges favorables aux criminels, notamment les services de conversion ayant de faibles exigences en matière de KYC (Know Your Customer). Cependant, même les plateformes d'échange appliquant des normes KYC strictes peuvent être victimes de ransomwares. C'est pour cette raison que l'identification des auteurs de ransomware est un enjeu important pour l'ensemble de l'écosystème des cryptomonnaies.
Que se passe-t-il lorsqu'une organisation est victime d'un ransomware ?
Tout d'abord, l'organisation informe les forces de l'ordre pour que les enquêteurs suivent le flux de cryptomonnaies grâce à un logiciel d'analyse de la blockchain. Ensuite, une fois que les services de conversion des cybercriminels sont identifiés, les forces de l'ordre et l'organisation se coordonnent pour monter un dossier.
Les attaques par ransomware étant de plus en plus sophistiquées et coûteuses pour les victimes, les organisations doivent suivre ces recommandations pour s'en protéger :
> Connaître les acteurs. Les acteurs étatiques et les organisations criminelles abordent les attaques par ransomware différemment. Comprendre les objectifs et méthodes des cybercriminels est la première étape pour s'en protéger.
> Agir rapidement. Les auteurs de ransomware déplacent les fonds volés rapidement, souvent en une seule transaction. Le temps est un facteur essentiel pour avoir des chances de récupérer ses fonds.
> Faire appel aux forces de l'ordre. De nombreuses victimes ne signalent pas les ransomwares, permettant ainsi à leurs auteurs d'agir en toute impunité. Le partage des données sur les attaques entre les plateformes d'échanges, les professionnels de l'application de la loi et les enquêteurs sert au développement de meilleures solutions pour identifier les cybercriminels et récupérer les fonds volés.
> Utiliser les outils disponibles. Il demeure essentiel pour les organisations de se familiariser avec les logiciels spécialisés mis à contribution pour identifier les auteurs de ransomwares, suivre les flux des fonds volés et se prémunir ou déjouer les attaques par ransomwares.
Face à une menace de plus en plus pressante des cybercriminels, les différents acteurs du secteur des cryptomonnaies doivent travailler ensemble en apportant leur expertise et en exerçant leur pouvoir à leur échelle. Cette collaboration accompagnée des outils adéquats permettra au marché des cryptomonnaies d'être plus sécurisé et aux organisations de se protéger des cyberattaques à venir.
Alexandre Eich Gozzi, - Chainalysis.
Sur le même thème
Voir tous les articles Cybersécurité