Avaddon, un groupe de cybercriminels, utilise des attaques DDoS pour forcer les victimes à payer des rançons,
comme contre-mesure à l'avis du Trésor US qui interdit le paiement des rançons

En fin d’année 2020, dans un avis publié sur son site web, le Département du Trésor américain a prévenu les organisations qui cèdent aux paiements des rançons qu'elles risquaient de violer les sanctions économiques imposées par le gouvernement américain contre les groupes cybercriminels.

« Le Département du Trésor américain peut imposer des sanctions civiles pour des violations basées sur la responsabilité stricte, ce qui signifie qu'une personne soumise à la juridiction américaine peut être tenue civilement responsable même si elle ne savait pas ou n'avait pas de raison de savoir qu'elle effectuait une transaction avec une organisation qui est interdite par les lois et règlements sur les sanctions administrées par le Département du Trésor américain », a déclaré le département du trésor dans l'avis. « Faciliter le paiement d'une rançon exigée à la suite d'activités cybernétiques malveillantes peut permettre aux cybercriminels et a tout le réseau en lien avec les sanctions de profiter et de faire progresser leurs objectifs malveillants », ajoute l’organisation.

Comme contre-mesure à l'avis du Departement du Tresor américain, des groupes de cybercriminels utilisent maintenant le DDoS pour forcer les victimes à payer la rançon demandée. Après SunCrypt et RagnarLocker, des groupes de cybercriminels bien connus sur le Web, c’est autour de Avaddon un autre groupe de cybercriminels d’annoncer l’utilisation de cette technique d’attaque pour forcer les victimes à se présenter à la table de négociation et à payer la rançon demandée.

Nom : avaddonB.png
Affichages : 816
Taille : 171,4 Ko

Dans un post laissé sur son site, Avaddon donne 240 heures aux organisations qui ne voudraient pas coopérer. « Une fois l’organisation victime du DDoS, nous continuerons avec nos menaces jusqu’à ce que nous soyons contactés, a déclaré Avaddon. Nous avons diverses idées pour perturber les entreprises et leurs différents clients. » Bien que l'avis du Département du Trésor américain ait le potentiel de perturber le modèle économique qui soutient les cybercriminels, il convient de noter qu’il place tout de même les victimes dans une situation difficile où ce type d'attaque pourrait coûter beaucoup plus cher et mettre beaucoup plus de temps pour être résolu.

La suite de protocoles TCP/IP n'est pas parfaite. En effet, TCP/IP présente plusieurs failles de sécurité inhérentes à la conception ou à la plupart de ses implémentations. Les cybercriminels utilisent ces vulnérabilités de sécurité pour effectuer divers types d’attaques sur le réseau. Parmi ces attaques, nous pouvons citer : les dénis de services (DoS). Dans une attaque par déni de service, un cybercriminel tente d'empêcher des utilisateurs légitimes d'accéder à des informations, à des services ou tous autres types de ressources. Le DoS est l’une des attaques les plus courantes aujourd’hui. Elle repose sur des failles spécifiques dans diverses applications et systèmes d'exploitation.

Rappelons que, lorsqu'une tentative de déni de service provient d'un hôte unique du réseau, elle constitue une attaque DoS. Des hôtes malveillants peuvent également se coordonner pour inonder une victime d’une abondance de paquets d’attaques, de sorte que l’attaque se déroule simultanément à partir de milliers de sources potentielles. Ce type d'attaque s'appelle : attaque DDoS (Distributed Denial of Service). Les attaques DDoS émanent généralement d’un réseau de systèmes compromis appelés réseaux de "zombies". Un réseau de "zombies" est constitué d'un groupe d'ordinateurs exécutant des robots (ou bots) et d'un mécanisme de contrôle principal assurant la direction et le contrôle des "zombies". L'éditeur d'un réseau de "zombies" utilise le mécanisme de contrôle principal sur un serveur de commande et contrôle (CoC) pour contrôler les ordinateurs "zombies" à distance.

Nom : Ddos.PNG
Affichages : 755
Taille : 57,5 Ko

« Il n'est du tout pas surprenant de voir les cybercriminels combiner les attaques par rançon et les DDoS : le DDoS est bon marché et dans certains cas, peut contribuer à convaincre certaines entreprises que le paiement rapide est l'option la moins douloureuse. Plus les cybercriminels pourront mettre la pression sur les entreprises, meilleures seront leurs chances d'obtenir un paiement », a déclaré Brett Callow, analyste des menaces chez Emsisoft.

Les attaques DDoS étant depuis longtemps considérées comme une « vieille histoire » en termes de techniques d’attaques, de nombreuses entreprises étaient convaincues que les mesures de sécurité mises en place pourraient fournir une protection adéquate. Mais cette confiance a été ébranlée par les attaques à grande échelle de ces dernières années. Les attaques basées sur le Web sont difficiles à défendre, car il peut y avoir de nombreuses vulnérabilités connues et inconnues dans le code des sites ou applications Web. Sachant que les applications Web se connectent généralement à une base de données relationnelle pour accéder aux données, elles sont généralement une cible pour les cybercriminels.

Les attaques par DDoS devraient constituer une préoccupation majeure pour la sécurité des organisations, en particulier de celles qui exercent des activités ou qui ont des intérêts dans des secteurs qui constituent déjà une cible prioritaire.

Sources : Avaddon, OFAC

Et vous ?

Êtes-vous pour ou contre le paiement des rançons ?

Pensez-vous que le paiement des rançons serait l'option la moins douloureuse ?

Quel est votre avis sur la mesure du Département du Trésor américain ?

Voir aussi :

Les cybercriminels gagnent plus de 3 milliards de dollars par an en se servant de l'ingénierie sociale, selon un rapport

Des cybercriminels utilisent des fermes d'émulateurs mobiles pour voler des millions de dollars à des banques en Europe et aux USA, avec un niveau de sophistication très élevé

Le skimming, une nouvelle technique utilisée par les cybercriminels pour cibler les sites e-commerce, pour voler les données de carte de crédit, selon un rapport d'IntSights

Campari Group victime du ransomware Ragnar Locker. Les cybercriminels ont volé 2 To de données sensibles, et demandent 15 Ms$ pour déverrouiller les fichiers et supprimer les données volées