RSS Feed

Comme tout entrepreneur intelligent, les acteurs malveillants savent que le succès de leur entreprise dépend de celui de leur dernière innovation. Et lorsqu’il s’agit d’extorquer de l’argent aux organisations non sécurisées, les innovations sont nombreuses.

La dernière en date consiste à intégrer des attaques dans un portefeuille de ransomware-as-a-service (RaaS) pour créer ce que l’on appelle une triple attaque de cyber-extorsion. Elle est composée d’un peu de rançon, d’un peu d’extorsion DDoS, et de beaucoup de problèmes. Voici son fonctionnement :

  1. Cryptage. Avec la méthode traditionnelle d’attaque par ransomware, les cybercriminels pénètrent dans un réseau et cryptent les données de valeurs (voire parfois le système entier), pour les rendre indisponibles pour l’organisation visée. Ensuite, les cybercriminels réclament un paiement un échange d’une clé de décryptage.
  2. Vol de données. Pour le vol, les cybercriminels exfiltrent les données avant de bloquer l’accès à la victime. Ils menacent d’exposer et/ou de vendre publiquement les données volées si la victime ne paie pas. Avec ce deuxième niveau d’extorsion, il est plus difficile pour les victimes d’ignorer les menaces de ransomware, car mêmes si elles peuvent restaurer leurs données à l’aide de sauvegardes, ces victimes restent exposées au risque d’exposition de leurs données. Il s’agit clairement d’un outil de monétisation précieux : Coveware estime qu’au troisième trimestre de l’année 2020, près de la moitié des attaques par ransomware avaient utilisé des tactiques d’exfiltration.
  3. Attaque DDoS. Plus couramment utilisées comme une méthode d’extorsion autonome, les attaque DDoS font désormais partie de la liste des services proposés par les opérateurs de RaaS. Ce type d’attaque accentue la pression sur la victime de deux façons : Tout d’abord, elle souligne le sérieux de l’adversaire. Ensuite, le maintien de la disponibilité ajoute aussi un autre facteur de stress à une équipes de sécurité déjà confrontée aux deux précédents événements.

En combinant le cryptage de fichier, le vol de données et les attaque DDoS, les cybercriminels ont trouvé un trio gagnant de ransomware conçu pour augmenter la probabilité de paiement. D’après Bleeping Computer, les ransomware SunCrypt et Ragnor Locker ont été les premiers à utiliser cette tactique.   Depuis, d’autres opérateurs de ransomware ont adopté la même tactique, y compris Avaddon et Darkside, auteur de la cyberattaque contre Colonial Pipeline. 

Du point de vue des cybercriminels, l’ajout des attaques DDoS à une liste de services de ransomware constitue une démarche commerciale intelligente. Ces attaques DDoS sont incroyablement bon marché et il est facile de les mettre en place. De plus, elles ont tendance à augmenter les chances que la victime paie la rançon. Que pouvons-nous leur reprocher ? Après tout, il s’agit d’une activité très lucrative, et les acteurs malveillants ajoutent constamment de nouvelles armes à leurs campagnes d’attaques aux multiples facettes. (Nous voyons même certains opérateurs ajouter l’équivalent de centres d’assistance pour aider leurs victimes à décrypter leurs données.)

En définitive, l’augmentation des moyens de pression accroît la probabilité d’un paiement, ce qui fait des ransomware une forme de cybercriminalité de plus en plus perturbatrice qui touche non seulement les entreprises, mais aussi les gouvernements, les écoles ainsi que les infrastructures publiques.

Nous observons des réponses à cette crise, comme la Ransomware Task Force (RTF), créée par le Institute for Security and Technology. Constituée d’une large coalition d’experts de l’industrie, du gouvernement, des forces de l’ordre, de la société civile et des organisations internationales, la RTF a récemment publié des recommandations clés pour combattre ce que le groupe caractérise comme un risque de sécurité urgent. C’est un début, mais il faudra un effort mondial soutenu pour parvenir à freiner l’activité des ransomware.

En attendant, les entreprises doivent respecter certaines protections fondamentales :

  • Violation ne convient pas. Les meilleures pratiques consistent notamment à former les utilisateurs à adopter une bonne hygiène numérique en matière de cybersécurité et à utiliser des solutions de protection de la cybersécurité des points de terminaison et des réseaux pour détecter les logiciels malveillants, les activités anormales ou encore les indicateurs de compromission (IoC).
  • Faire attention aux fondamentaux de la cyber défense. Sauvegarder les données de valeur et tester les plans de restauration des données. Effectuer des évaluations de vulnérabilité, corriger et mettre à jour les systèmes informatiques en conséquence pour éviter toute compromission.
  • Rester renseigné en permanence sur les menaces. En se tenant toujours au courant des dernières informations sur les menaces, les entreprises peuvent détecter, enquêter ou rechercher de manière proactive les IoC qui pourraient précéder une attaque par ransomware.
  • Utiliser une protection DDoS appropriée. Les attaques DDoS augmentent à la fois en taille, en fréquence et en complexité. Les meilleures pratiques pour atténuer les DDoS comprennent une combinaison hybride et intelligente d’atténuation des DDoS basées sur le cloud et sur site.

Pour finir, les organisations devraient également chercher à déployer des solutions de cybersécurité spécialisées étant capables de contrecarrer toutes les facettes d’une triple attaque d’extorsion.

Learn more about defending triple extortion threats

Visit our resource center

  • ASERT
  • Threat Intelligence
  • DDoS
  • Enterprise
  • Security
  • Service Provider

Subscribe to Our Blog