Quotidien Fintech, levée de fonds, M&A
Financial Year Financial Year
 
 
Fintech, Blocktech, Greentech, Healthtech, Corporate Finance
              


Jeudi 9 Septembre 2021

Interview | Le nouveau tiercé gagnant des attaques ransomwares : chiffrement de fichiers, vol de données et attaques DDoS


Entretien avec Philippe Alcoy, spécialiste de la sécurité chez NETSCOUT.



Quelles fonctions occupez-vous chez NETSCOUT ?

Je travaille depuis plus de quatre ans et demi sur la recherche, la stratégie et les préventes de solutions de détection, d'enquête et d'atténuation des menaces DDoS pour les fournisseurs de services et les entreprises pour la région Asie-Pacifique et pour la France.

Vous avez récemment communiqué sur l’émergence de techniques de triple extorsion, en quoi ces attaques consistent-elles ?

Chez NETSCOUT, nous appelons cela le « nouveau tiercé gagnant » du ransomware, car il combine le chiffrement de fichiers, le vol de données et les attaques par déni de service distribué (DDoS). Plus concrètement, il s’agit d’un modèle dans lequel l’attaquant intègre du DDoS dans un portefeuille de Ransomware-as-a-Service (RaaS), afin de créer cette fameuse « triple attaque par cyber-extorsion » qui repose sur la combinaison du chiffrement, du vol de données et d’une attaque DDoS. Nous avons constaté, au cours des derniers mois, que ce mode d’attaque est de plus en plus plébiscité par les cybercriminels.

Qu’est-ce-qui selon vous en fait une menace plus importante ?

Pris séparément, ces trois types d’attaques connaissent déjà un certain succès et permettent à des personnes malveillantes de mener à bien leurs campagnes.

Tout d’abord, dans le cadre d’attaques par ransomware classiques, les cybercriminels pénètrent dans un réseau et recourent au chiffrement des données critiques de l’entreprise victime. Ils empêchent ainsi cette dernière (et parfois l’ensemble du système) d’accéder à ces données. Ensuite, ils exigent le paiement d’une rançon en échange d’une clé de déchiffrement.

Dans le cas d’un vol de données, les cybercriminels exfiltrent les données avant de neutraliser la victime. Ils menacent ensuite d’exposer et/ou de vendre publiquement les données dérobées à moins de recevoir une contrepartie. Avec ce deuxième niveau d’extorsion, il est plus difficile pour les victimes de faire fi des menaces de ransomware. En effet, même les entreprises qui ont la possibilité d’utiliser des sauvegardes pour restaurer leurs données demeurent vulnérables à leur exposition. Il s’agit clairement d’un outil de monétisation profitable, puisque Coveware estime que près de la moitié des cas de ransomware au troisième trimestre 2020 ont recouru à des tactiques d’exfiltration.

Comment les attaques DDoS s’inscrivent-elles dans ce nouveau « trio cyber malveillant » ?

Habituellement utilisées comme méthode d’extorsion autonome, les attaques DDoS ont naturellement trouvé leur place au sein des services proposés par les opérateurs RaaS. Cette situation accentue la pression exercée sur la victime, à plusieurs niveaux et renforce ainsi la crédibilité de l’attaquant. Par ailleurs, le maintien de la disponibilité constitue également un facteur de stress supplémentaire pour une équipe de sécurité déjà confrontée au chiffrement et au vol de données.

Les cybercriminels ont en quelque sorte trouvé un sésame avec cette combinaison…

Cela vient aussi de la pratique et de la professionnalisation, voire « l’uberisation » de la cybercriminalité. Pendant longtemps une cyberattaque de type phishing suffisait à collecter quelques données, les revendre au marché noir ou extorquer de l’argent. La finalité étant la plupart du temps financière, en combinant le chiffrement de fichiers, le vol de données et les attaques DDoS, les cybercriminels ont pour ainsi dire obtenu le tiercé gagnant du ransomware, lequel est conçu pour augmenter les chances de recevoir un paiement.

Selon le site américain Bleeping Computer, SunCrypt et Ragnor Locker ont été les premiers à recourir à cette tactique. Depuis lors, d’autres opérateurs de ransomware les ont rejoints, notamment Avaddon et Darkside, l’auteur de l’incident de Colonial Pipeline.

Que change la variable DDoS à ces techniques d’attaques ?

Du point de vue des cybercriminels, l’ajout d’attaques DDoS à la liste des services de ransomware représente une démarche opérationnelle logique. Les attaques DDoS sont extrêmement peu coûteuses et faciles à lancer, risquant ainsi d’augmenter les chances de voir une victime payer la rançon. Il serait dommage de ne pas en profiter, tant cette activité est lucrative et parce que les attaquants ne cessent de trouver de nouvelles armes à ajouter à leurs campagnes d’attaques. Certains poussent même le vice jusqu’à ajouter un service de centre d’assistance pour aider les victimes à déchiffrer les données.

Pourtant, les attaques ransomware n’ont rien de nouveau. Qu’est-ce-qui change ?

En fin de compte, la multiplication des moyens de pression augmente la probabilité de recevoir le paiement d’une rançon, si bien que les ransomwares constituent une forme de cybercriminalité de plus en plus déstabilisante qui touche non seulement les entreprises, mais aussi les gouvernements, les écoles et les infrastructures publiques.

La nature de ces attaques à plusieurs volets démontre la persistance des attaquants face à une opportunité d'extorquer de l'argent. De plus, la menace d'une attaque ne disparaît pas simplement si les organisations ciblées choisissent de payer la rançon immédiatement. C’est pourquoi, il est essentiel que les entreprises en général et les professionnels de la sécurité en particulier soient constamment à jour sur les tendances des cyberattaques et continuent de trouver des moyens de protéger les infrastructures critiques. En résumé, garder une longueur d’avance sur les attaquants.

Quelles initiatives existent aujourd’hui pour lutter contre les attaques ransomwares ?

Aux Etats-Unis, la Ransomware Task Force (RTF) créée par l’Institute for Security and Technology, est composée d’une large coalition d’experts de la sécurité, du gouvernement, des services répressifs, de la société civile et des organisations internationales, et a récemment publié des recommandations clés pour combattre ce que le groupe qualifie de « risque sécuritaire urgent ». Les agences de sécurité du monde entier, telles que l’ANSSI en France s’activent et ont formulé des recommandations pour permettre de se prémunir contre ces attaques localement.

Au vu des attaques quasi quotidiennes perpétrées, pensez-vous que cela soit suffisant ?

C’est incontestablement un bon début, de nombreux efforts sont faits par les experts et les entreprises de sécurité pour garder une longueur d’avance sur les attaques, pour réfléchir à des manières de s’en prémunir. Mais l’effort doit in fine être collectif pour être efficace. Un effort mondial de grande ampleur reste nécessaire pour mettre un frein à l’activité des ransomwares et aux autres attaques.

D’ailleurs cela devient de plus en plus critique, car si on se base sur les résultats d’une majorité d’études publiées au cours des derniers mois, les entreprises et les professionnels de la sécurité s’attendent à subir des attaques. La dernière étude publiée par Trend Micro et le Ponemon Institute va dans ce sens. Leurs recherches ont démontré qu’au niveau mondial, 80 % des RSSI interrogés s’attendent à un risque de violation au cours des 12 prochains mois, et près de 86 % s’attendent à subir une attaque majeure sur la même période. Nous avons martelé le fait qu’il faut partir du principe qu’une attaque va se produire pour améliorer la sécurité, aujourd’hui il faut rechercher activement les intrusions, les anomalies dans le réseau pour mieux riposter en temps réel.

Quel est votre constat au niveau des attaques DDoS ?

En 2020, avec la pandémie de Covid-19 nous avons dépassé le seuil des 10 millions d’attaques DDoS au niveau mondial. Un record. Pour la première moitié de 2021, notre responsable de recherche et d'analyse des menaces ASERT, Richard Hummel, et notre équipe d'ingénierie et de réponse de sécurité ont identifié près de 5,4 millions d'attaques DDoS lancées par les cybercriminels.

Il s’agit d’une augmentation de 11 % par rapport à la même période en 2020. Selon nos calculs, le nombre total d’attaques DDoS mondiales pourrait s’élever à 11 millions en 2021, soit un nombre plus élevé qu’en 2020.

Cela n’a rien de rassurant…

Cela témoigne surtout de la nécessité de rester alerte et être préparé. Nous restons malgré tout optimistes puisque les chiffres du deuxième trimestre affichent des signes de ralentissement. Nous avons notamment observé 2 488 048 attaques au deuxième trimestre, soit une baisse de 13 % par rapport aux 2 863 882 identifiées au premier trimestre. Les chiffres du deuxième trimestre 2021 ont également diminué de 6,5 % par rapport à la même période en 2020. Enfin, au mois de juin dernier, le nombre mensuel d'attaques DDoS est tombé sous le seuil des 800 000 pour la première fois depuis mars 2020.

Cependant, bien que la fréquence des attaques ait diminué, nous sommes loin des nombres d'attaques considérés comme « normaux » avant le début de la pandémie de COVID-19. Pour mettre les choses en perspective, l’équipe NETSCOUT a comparé avec 2019. Il ressort que 13 % d’attaques supplémentaires ont été perpétrées en 2021 par rapport à 2019. De plus, le nombre mensuel d'attaques le plus bas pour le deuxième trimestre 2021 est survenu en juin, avec 761 914 attaques, il s’élevait à 755 748 attaques en avril 2019.

Que conseillez-vous aux entreprises ?

Les entreprises peuvent recourir à quelques bonnes pratiques aussi simples que fondamentales pour éviter ces attaques. Elles peuvent tout d’abord inculquer aux employés les bases d’une bonne hygiène de cybersécurité et leur apprendre à utiliser les outils de protection des réseaux et des terminaux mis à leur disposition par les équipes IT. Il sera alors plus facile de détecter les logiciels malveillants, les activités inhabituelles ou encore les indicateurs de compromission. En outre, encourager les équipes à sauvegarder les données importantes, tester les plans de restauration des données, effectuer des audits de vulnérabilité, appliquer des correctifs et mettre à jour les systèmes informatiques en conséquence sont un ensemble de mesures qui permettront d’éviter de manière proactive et efficace toute compromission.

Face aux attaques DDoS qui ne cessent de gagner en ampleur, en fréquence et en complexité, les entreprises doivent s’attendre à tout moment à subir une attaque pour ne jamais être prises de court. Les déploiements d’outils combinés à une visibilité complète des réseaux et des infrastructures sur site et dans le cloud permettront aux équipes de garder une longueur d’avance sur les cybercriminels et de déjouer toutes les facettes d’une triple attaque d’extorsion.




Finyear: latest news, derniers articles


Inscription à la newsletter

Flux RSS