Les ransomwares ont évolué depuis leur mise en lumière par la campagne Wannacry. Les cybercriminels se sont professionnalisés, les attaques se sont sophistiquées et les programmes sont désormais proposés en mode «as a Service». Face à cette menace mouvante, la défense statique ne suffit plus. Article paru dans L'Informaticien n°196 (mai 2021).
Le monde a bien changé depuis Wannacry, en 2017. Le choc et la stupeur provoqués par cette campagne d’une ampleur inédite ont laissé la place à l’accoutumance : il ne se passe plus une semaine sans que le nom d’une nouvelle victime de ransomware ne soit révélé. SK Hynix, Garmin, la MMA, Canon, MOM, Umanis… Ce ne sont que quelques-unes des sociétés victimes connues de rancongiciels en 2020. Une année marquée par l’intensification des attaques, à en croire l’Acyma. Selon le rapport d’activité 2020 de cybermalveillance.gouv, de sixième type menaces recensées en 2019, les attaques par rançongiciels sont devenues l’an passé « la principale menace à laquelle les professionnels ont été confrontés », en progression de 30 %, pour un total de 17 % des recherches d’assistance pour le secteur privé (entreprises et associations) et 19% pour le secteur public (collectivités et administrations). La crise sanitaire n’est sans doute pas étrangère à cette croissance. C’est un sujet que nous avons déjà traité à plusieurs reprises : avec la normalisation du travail à distance, la surface d’attaque s’est élargie pour la plus grande joie des cybercriminels.
Ces derniers aussi ont changé depuis 2017. Plus professionnels, ils se sont organisés d’une manière qui n’est pas sans rappeler leurs opposants du secteur de la cybersécurité, souligne Cyrille Badeau, VP Europe de Threat Quotient, avec « des fabricants de cœur de ransomware et des exploitants ». Et un modèle Ransomware « as a Service » où les premiers « proposent un service de location clé en main de l’outil » aux seconds, accompagné de « tout ce que l’on n’oserait pas imaginer en termes de services, tels que du support client en ligne ». Conséquence de cette professionnalisation, les attaques sont de plus en plus ciblées. « On est passé de la pêche au filet à la pêche au harpon », nous explique Julien Billochon, Solution Engineer Lead chez Cybereason. « On s’est rendu compte, surtout avec Emotet, que les attaquants ciblent beaucoup plus, en s’insérant par exemple de manière crédible dans un thread d’e-mails pour tromper la vigilance de l’utilisateur.» Les attaques classiques, auxquelles les PME sont les plus exposées, continuent de progresser, mais « la professionnalisation aujourd’hui est telle que cibler des grands groupes, c’est possible », abonde Cyrille Badeau. « Ce qui se traduit par une augmentation de la rançon exigée. Auparavant les attaquants visaient la quantité ; désormais ils ciblent en y mettant plus d’énergie et en demandant une rançon plus importante.»
Les pros de la rançon
Car le ransomware se professionnalisant, notamment à travers son modèle « as a Service » évitant aux opérateurs la gageure du développement d’un programme malveillant, l’arsenal à disposition des attaquants est toujours plus puissant. « Le mail reste le vecteur de prédilection, mais il a évolué », indique Cyrille Badeau. Si pour les attaques moins ciblées, les cybercriminels privilégient encore et toujours le phishing, ce qui se comprend par leur objectif de faire de la quantité, les attaques ciblées vont quant à elle faire l’objet de bien plus d’efforts de la part de leurs auteurs. « Je pense notamment à un cas où un mail contenant un document à signer avait été envoyé aux salariés du département Finances d’une entreprise la veille des résultats financiers », évoque le vice-président Europe de Threat Quotient. « C’est beaucoup d’énergie dépensée pour toucher très peu de gens, mais avec des résultats souvent extraordinaires. Et il est extrêmement compliqué pour les utilisateurs de ne pas se faire avoir.» Aux liens et pièces jointes malveillantes contenues dans les courriels s’ajoutent, dans le cadre de ces attaques ciblées, l’exploitation de vulnérabilités non patchées ou de VPN mal configurés pour obtenir une porte d’entrée dans le SI de l’entreprise. On pourra citer les failles Exchange, Zerologon ou encore sur certains produits Pulse Secure. « Et là, l’utilisateur ne peut pas y faire grand-chose », concède Julien Billochon. Une fois entrés, les attaquants ont là encore fait évoluer leur modus operandi. « Depuis 24 mois, on voit monter en puissance des ransomwares qui, outre de se répandre dans l’entreprise, sont capables de désactiver des capacités de backup. De telle sorte que lorsque le ransomware détonne, ce ne sont plus les activités des dernières 24 heures qui sont perdues, mais de plusieurs jours voire plusieurs semaines !» précise Cyrille Badeau. « Ce n’est pas fait pour attaquer la PME du coin !» La détonation du ransomware, l’action par laquelle il va chiffrer les fichiers et bloquer les machines, est l’ultime étape : elle va montrer à l’entité visée qu’une attaque a eu lieu et mener à la demande de rançon. Pour Julien Billochon, « C’est ici que nous avons également remarqué une évolution, notamment avec Ryuk. Avant, les ransomwares attaquaient quelques machines et bloquaient tout en latéralisant autant que possible. Avec Ryuk, on a vu des attaquants utiliser des techniques observées dans les APT pour s’introduire au plus profond du système d’information, sur la durée, avant de détonner de sorte à faire un maximum de dégât.»
De l’APT dans le ransomware
D’autant que, désormais, les attaquants ne se limitent plus au chiffrement des machines : ils en exfiltrent d’abord les données. Et contre ça, une politique de sauvegarde efficace capable de remettre l’infrastructure sur pied rapidement en cas de blocage est impuissante. « L’exfiltration fait peser sur la cible la menace d’une divulgation : l’objectif est qu’elle soit plus encline à payer la rançon » note le Solution Engineer Lead chez Cybereason. Autant de techniques, de procédés, que l’on observe depuis longtemps dans les Advanced Persistant Threat. Est-ce à dire que les mondes de la cybercriminalité et de l’espionnage «sponsorisé» par des États se rapprochent. Nos deux experts estiment que oui, du point de vue de la technique. « Un des risques futurs, c’est l’induction d’un défaut au sein d’une chaîne de production » Cyrille Badeau VP Europe de Threat Quotient mais que les finalités ne sont pas du tout les mêmes. « La capacité de blocage telle qu’elle est permise par les ransomwares modernes peut être utilisée par les deux mondes mais pas dans le même but », explique Cyrille Badeau. Et la situation pourrait empirer, avec des attaques d’une ampleur encore insoupçonnée. « Un des risques futurs, c’est l’introduction d’un défaut au sein d’une chaîne de production. Plutôt que de bloquer le fabricant pour l’empêcher de produire, j’induis un défaut dans la production et je la laisse tourner pour sortir l’info au bout de X temps. C’est un risque redouté chez les industriels et on sent que cette vague-là arrivera », prédit-on chez Threat Quotient. Du côté de Cybereason, on renchérit : « Ce type d’attaques pourra étendre l’impact sur les consommateurs finaux, les clients ».
Évidemment, il existe des moyens de se prémunir contre les ransomwares, mais ces derniers évoluant très vite, la défense doit pouvoir s’adapter au même rythme. « Une posture de défense entièrement réactive, presque statique, consiste à attendre les vagues d’attaques et à reboucher les trous. C’est une posture louable, un investissement en cybersécurité qui fait son office dans une période de stress léger et face à un risque extérieur peu important », signale Cyrille Badeau. Ici, la défense s’appuie sur la surveillance des alertes, laquelle va appeler une enquête qui va, le cas échéant, appeler une réponse… ce qui à l’énoncer semble peu efficace face à une attaque ciblée. « Mais en cas de stress élevé et de risque extérieur important, il est nécessaire de passer à autres chose.» Le ransomware aujourd’hui appelle une approche plus proactive avec, d’une part, une capacité d’apprentissage à des fins d’anticipation – soit améliorer la défense en amont de l’attaque – et d’autre part un bloc unifié alerte-réponse afin d’éviter le silotage des différentes solutions de détection et de réponse. Le tout se conjugue, on ne le répétera jamais assez, à la sensibilisation et à la formation des utilisateurs.