Les attaques de ransomware conventionnelles se déroulent de la manière suivante : vos fichiers sont chiffrés, votre entreprise est totalement paralysée et un message apparaît vous indiquant qu’une clé de déchiffrement de vos données est disponible…
… moyennant le paiement d’une rançon souvent exorbitante.
Évolution cybercriminelle
Comme vous pouvez l’imaginer, étant donné que les ransomwares sont apparus à une époque où tout le monde n’avait pas accès à Internet (et précisons que ceux qui étaient en ligne disposaient de vitesses de transfert de données qui se mesuraient non pas en gigaoctets ou en mégaoctets par seconde, mais bien souvent en kilooctets),donc l’idée même de chiffrer vos fichiers là où ils se trouvaient était une astuce ignoble pour gagner du temps.
Les cybercriminels avaient alors un contrôle total sur vos données, sans avoir besoin au préalable de tout uploader, puis d’écraser ensuite les fichiers originaux sur le disque.
Mieux encore pour les escrocs, ils pouvaient s’attaquer à des centaines, des milliers, voire des millions d’ordinateurs à la fois, et ils n’avaient pas besoin de conserver toutes vos données dans l’espoir de vous les “revendre” par la suite (avant que le stockage dans le Cloud ne devienne un service accessible à tous, l’espace disque pour la sauvegarde était coûteux et ne pouvait pas être facilement obtenu à la demande et instantanément).
Ainsi, les victimes de ransomwares ‘chiffreurs’ de fichiers finissaient par devenir des gardiens de prison, malgré eux, surveillant leurs propres données.
Leurs fichiers étaient laissés cruellement à portée de main, souvent avec les noms de fichier d’origine (bien qu’avec une extension supplémentaire telle que .locked ajoutée à la fin pour bien remuer le couteau dans la plaie), mais totalement inutilisables par les applications qui les ouvriraient habituellement.
Mais dans le monde actuel du Cloud Computing, les cyberattaques durant lesquelles les auteurs de ransomware copient absolument tout, ou du moins la grande majorité de vos fichiers vitaux, ne sont pas seulement techniquement possibles, elles sont aussi devenues très courantes.
Juste pour clarifier, dans de nombreux cas, sinon la plupart, les attaquants chiffrent également vos fichiers locaux, car ils le peuvent, tout simplement.
Après tout, chiffrer des fichiers sur des milliers d’ordinateurs simultanément est généralement beaucoup plus rapide que de tous les uploader dans le Cloud.
Les périphériques de stockage locaux fournissent généralement une bande passante en termes de données de plusieurs gigaoctets par seconde par lecteur et par ordinateur, alors que de nombreux réseaux d’entreprise disposent d’une connexion Internet de quelques centaines de mégaoctets par seconde, voire même moins, partagée en plus par tous les employés.
Chiffrer tous vos fichiers sur tous vos ordinateurs portables et serveurs sur tous vos réseaux signifie que les attaquants peuvent vous faire chanter en brandissant la menace d’une potentielle faillite de votre entreprise si vous ne pouvez pas récupérer vos sauvegardes à temps.
NB : Les auteurs de ransomware actuels tentent par tous les moyens de détruire le plus de données sauvegardées possible avant de lancer le chiffrement des fichiers à proprement parler.
La premier niveau de chantage dit : “Payez et nous vous donnerons les clés de déchiffrement dont vous avez besoin pour reconstruire tous vos fichiers là où ils se trouvaient sur chaque ordinateur, donc même si vous avez des sauvegardes lentes, partielles ou inexistantes, vous serez de nouveau opérationnel bientôt ; si vous refusez de payer alors les activités de votre entreprise resteront dans l’état où elles trouvent actuellement, à savoir paralysées et à l’arrêt total”.
De plus, même si les cybercriminels n’ont que le temps de voler certains de vos fichiers les plus intéressants sur certains de vos ordinateurs les plus intéressants, ils disposent alors d’une deuxième épée de Damoclès à agiter au-dessus de votre tête.
Ce deuxième niveau de chantage tient le discours suivant : “Payez et nous vous promettons de supprimer les données volées ; si vous refusez de payer alors nous ne nous contenterons pas de les conserver, nous les diffuserons et les divulguerons massivement”.
Les escrocs menacent généralement de vendre vos données volées à d’autres cybercriminels, de les transmettre aux régulateurs et aux médias de votre pays, ou tout simplement de les publier ouvertement en ligne pour que tout le monde puisse les télécharger sans limite et à sa guise.
Oublier le chiffrement
Dans certaines attaques de cyberextorsion, les cybercriminels qui ont déjà volé vos données ne pensent absolument plus au chiffrement des fichiers ou ne sont pas en mesure de faire machine arrière.
Dans ce cas, les personnes ciblées finissent par être victimes de chantage uniquement pour que les escrocs gardent le silence, et non pour récupérer leurs fichiers afin de redémarrer leur entreprise.
C’est certainement ce qui s’est passé lors des récentes attaques très médiatisées de MOVEit, où le gang Clop, ou leurs affiliés, étaient au courant d’une vulnérabilité exploitable de type zero-day dans un logiciel connu sous le nom de MOVEit…
… il s’agit en fait d’uploader, de gérer et de partager en toute sécurité des données d’entreprise, notamment un composant qui permet aux utilisateurs d’accéder au système en utilisant leurs navigateurs Web, tout simplement.
Malheureusement, la faille zero-day existait dans le code Web de MOVEit, de sorte que quiconque avait activé l’accès Web exposait par inadvertance ses bases de données de fichiers professionnels à des commandes SQL injectées à distance.
Apparemment, plus de 130 entreprises sont désormais susceptibles d’avoir eu des données volées avant la découverte et le traitement de la faille MOVEit zero-day.
De nombreuses victimes semblent être des employés dont les données relatives à la paie ont été piratées et volées, non pas parce que leur propre employeur était un client de MOVEit, mais parce que le processus de paie externalisé de leur employeur l’était et que leurs données ont été volées dans la base de données relatives à la paie du fournisseur en question.
De plus, il semble que certaines des organisations piratées de cette manière (que ce soit directement via leur propre configuration MOVEit, ou indirectement via l’un de leurs fournisseurs de services) étaient des organismes de service public américains.
Récompense à gagner
L’ensemble de ces évènements a conduit l’équipe US Rewards for Justice (RFJ), qui fait partie du département d’État américain (l’équivalent du ministère des Affaires étrangères), à rappeler à tout le monde sur Twitter ce qui suit :
Le propre site Web du RFJ dit, comme cité dans le tweet ci-dessus :
‘Rewards for Justice’ offre une récompense pouvant aller jusqu’à 10 millions de dollars pour obtenir des informations permettant d’identifier ou de localiser toute personne qui, tout en agissant sous la direction ou sous le contrôle d’un gouvernement étranger, participe à des cyberactivités malveillantes contre des infrastructures critiques américaines en violation du CFAA (Computer Fraud and Abuse Act).
Il n’est pas clair si les informateurs pourraient toucher plusieurs fois la somme de 10 000 000 $ s’ils identifiaient plusieurs délinquants. De plus chaque récompense est spécifiée comme pouvant aller “jusqu’à” 10 millions de dollars et non comme une somme de 10 millions de dollars offerte à chaque fois, de manière pleine et entière…
… mais il sera intéressant de voir si un individu tentera de réclamer cette récompense.
Billet inspiré de Interested in $10,000,000? Ready to turn in the Clop ransomware crew?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.