Comment les acteurs des ransomwares ajoutent des attaques DDoS à leur arsenal
pour augmenter les pressions sur les victimes

Il n'est pas toujours évident que les victimes paient la rançon dans le cadre d'une attaque de ransomware, certaines d'entre elles se tournant en premier lieu vers des entreprises qui estiment pouvoir les aider à récupérer leurs données. Mais pour les faire paniquer et les obliger à payer, les attaquants auraient développé une méthode bien particulière : combiner une attaque de ransomware avec une attaque DDoS. Dans un rapport publié la semaine dernière, la société de cybersécurité NETSCOUT met en évidence cette tendance et propose quelques conseils pour mieux protéger votre organisation.

Des rapports sur la cybercriminalité indiquent que les dommages causés par la cybercriminalité devraient atteindre 6 000 milliards de dollars au cours de cette année (contre 3 000 milliards en 2015). D'autres sur l'état des ransomwares en 2021 indiquent que l'on devrait s'attendre à ce que le nombre d'attaques par ransomware augmente et que les nouvelles formes deviennent plus sophistiquées et perturbatrices. La société de cybersécurité NETSCOUT a enquêté sur ce dernier aspect et confirme que les groupes de ransomwares sont toujours à la recherche de nouveaux moyens de persuader leurs cibles de payer la rançon.

Nom : 20210521-lance-karen.jpg
Affichages : 1497
Taille : 107,4 Ko

« Comme tout entrepreneur avisé, les acteurs de la menace savent que le succès de leur entreprise dépend de leur dernière innovation. Et lorsqu'il s'agit de soutirer de l'argent à des organisations non sécurisées, ces innovations ne s'arrêtent jamais », a écrit NETSCOUT dans son rapport. La dernière en date consiste à intégrer des attaques dans un portefeuille de ransomware-as-a-service (RaaS) pour créer ce qu'on appelle une triple attaque de cyberextorsion. Il s'agit d'un peu de rançons, d'un peu d'extorsions et de beaucoup d'autres problèmes. NETSCOUT explique ci-dessous comment fonctionne cette nouvelle forme d'attaque.

  1. avec la méthode traditionnelle d'attaque par ransomware, les cybercriminels pénètrent dans un réseau et chiffrent des données précieuses, les rendant (et parfois le système entier) indisponibles pour l'organisation victime. Les attaquants exigent ensuite un paiement en échange d'une clé de déchiffrement
    ;
  2. dans ce cas, les cybercriminels exfiltrent les données avant de verrouiller la victime. Ils menacent ensuite d'exposer et/ou de vendre publiquement les données volées s'ils ne sont pas payés. Ce deuxième niveau d'extorsion fait qu'il est plus difficile pour les victimes d'ignorer les menaces de ransomware, car même celles qui peuvent utiliser des sauvegardes pour restaurer les données restent exposées au risque d'exposition des données. Il s'agit clairement d'un outil de monétisation précieux. La société de cybersécurité Coveware estime que près de la moitié des cas de ransomware au troisième trimestre 2020 ont utilisé des tactiques d'exfiltration ;
  3. attaque DDoS (Distributed Denial of Service) : couramment utilisées comme méthode d'extorsion autonome, les attaques DDoS figurent désormais sur la liste des services proposés par les opérateurs RaaS. Cela fait monter la pression sur la victime de plusieurs façons. Premièrement, cela souligne le sérieux de l'adversaire. Ensuite, le maintien de la disponibilité ajoute un facteur de stress supplémentaire à une équipe de sécurité déjà confrontée aux deux premiers événements.

Selon NETSCOUT, en combinant le chiffrement de fichiers, le vol de données et les attaques DDoS, les cybercriminels ont essentiellement mis au point un ransomware à trois volets conçu pour augmenter les possibilités de paiement. Les ransomwares SunCrypt et Ragnor Locker seraient les premiers à avoir utilisé cette tactique. Mais depuis, d'autres opérateurs ont également suivi, notamment Avaddon et Darkside, l'auteur de l'incident de Colonial Pipeline. Du point de vue des acteurs de la menace, l'ajout d'attaques DDoS à la liste des services de ransomware est une démarche commerciale intelligente.

La société estime que les attaques DDoS sont incroyablement bon marché et faciles à lancer, et elles peuvent augmenter les chances qu'une victime paie. Selon NETSCOUT, il s'agit d'une activité très lucrative, et les acteurs malveillants ajoutent constamment de nouvelles armes à leurs campagnes d'attaque multiformes. « Nous voyons même des opérateurs ajouter l'équivalent de centres d'assistance pour aider les victimes à déchiffrer », a déclaré la société. En fin de compte, l'augmentation des moyens de pression accroît la probabilité d'un paiement, ce qui fait des rançongiciels une forme de cybercriminalité de plus en plus perturbante.

Alors, comment se préserver de ce type d'attaque ? NETSCOUT a déclaré qu'il existe des initiatives pour faire face au problème. Il cite la Ransomware Task Force (RTF) créée par l'Institute for Security and Technology. Composée d'une large coalition d'experts de l'industrie, du gouvernement, des forces de l'ordre, de la société civile et des organisations internationales, la RTF a récemment publié des recommandations clés pour combattre ce que le groupe qualifie de risque de sécurité urgent.

NETSCOUT estime que c'est un début, mais qu'il faudra un effort mondial soutenu pour mettre un frein à l'activité des ransomwares. En attendant, elle estime que les entreprises doivent se conformer à certaines protections fondamentales :

  • éviter la violation du réseau : les meilleures pratiques consistent à former les utilisateurs à une bonne hygiène en matière de cybersécurité et à utiliser des solutions de protection de la cybersécurité du réseau et des points d'extrémité pour détecter les logiciels malveillants, les activités anormales ou les indicateurs de compromission (IoC – indicators of compromise) ;
  • faire attention à l'essentiel : il faut sauvegarder les données importantes et tester les plans de restauration des données. En outre, il faut effectuer des évaluations de vulnérabilité, appliquer des correctifs et mettre à jour les systèmes informatiques en conséquence afin d'éviter toute compromission ;
  • déployer une veille permanente sur les menaces : en restant au courant des dernières informations sur les menaces, les entreprises peuvent détecter, enquêter ou rechercher de manière proactive les IoC qui pourraient précéder une attaque par ransomware ;
  • utiliser une protection DDoS appropriée : les attaques DDoS augmentent en taille, en fréquence et en complexité. Les meilleures pratiques en matière d'atténuation des attaques DDoS comprennent une combinaison hybride et intelligente d'atténuation DDoS basée sur le cloud et sur site.

Enfin, NETSCOUT a déclaré que les organisations devraient également chercher à déployer des solutions de cybersécurité spécialisées qui peuvent aider à contrecarrer toutes les facettes d'une triple attaque d'extorsion.

Sources : NETSCOUT, COVEWARE

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de cette nouvelle forme d'attaque par ransomware ?
Votre organisation a-t-elle déjà été victime de cela ? Si oui, quelle approche de solution a-t-elle adoptée ?

Voir aussi

Cybermenaces 2021 : la tendance est aux « attaques d'extorsion », tandis que les attaques d'exfiltration de données prendront le dessus sur les attaques de chiffrement, d'après Acronis

97 % des entreprises ont subi une attaque de malware mobile au cours de l'année écoulée, d'après le rapport 2021 sur la sécurité mobile de Check Point Software

Le coût total moyen de récupération d'une attaque par ransomware a plus que doublé en un an, passant de 761 106 dollars en 2020 à 1,85 million de dollars en 2021, selon le dernier rapport de Sophos

2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense