Le boom des ransomwares au cours de la dernière décennie a pris de nombreux rebondissements, des techniques de double extorsion désormais omniprésentes aux attaques contre les infrastructures critiques.
La CNIL affirme avoir reçu 5 037 notifications de violation de données en 2021, soit une augmentation d’environ 79 % par rapport à 2020. Mais les températures ont augmenté en juin 2022 et la menace de cyberattaques graves a grimpé avec elles. Le début de l’été a vu des révélations sur des violations majeures d’informations médicales confidentielles, une étude de cas pour le changement de mots de passe piratés, une autre série de victimisation de personnes dont les données ont déjà été vendues une fois auparavant et une menace très médiatisée de saper toute une démocratie.
Ces deux derniers mois, plus de 30 attaques de rançongiciels divulguées publiquement ont été enregistrées. Des organisations telles que La Poste Mobile et Hensoldt ont toutes fait l’objet d’attaques de ransomwares depuis juin 2022. La Caisse Centrale de Réassurance a fait la une des journaux lorsqu’elle a été victime d’une , et l’une des plus grandes chaînes de vente au détail du Brésil, Fast Shop, a également été touchée. Le gang BlackCat a revendiqué une attaque contre l’Université de Pise en les frappant avec une rançon de 4,5 millions de dollars, tandis que le comté de Brooks au Texas a admis avoir payé sa rançon avec l’argent des contribuables.
Examinons de plus près quelques-uns de ces cas troublants, ainsi qu’un effort controversé pour freiner la vague de criminalité.
Les cyberattaques juillet 2022
Lorsque vous entendez une « attaque de rançon », vous pensez probablement au rançongiciel, le logiciel malveillant qui peut crypter ou bloquer des fichiers ou des systèmes entiers jusqu’à ce que vous payiez l’attaquant pour restaurer l’accès.
Mais il y a eu une augmentation massive d’un nouveau type virulent d’attaques de rançon. Et sans un bon PRA informatique ni réaliser un audit sécurité informatique, les défenses que vous avez mises en place pour lutter contre les ransomwares ne vous aideront pas à vaincre cette nouvelle menace, car elle ne nécessite pas de malware.
Au lieu de cela, les extorqueurs menacent simplement de fermer votre réseau avec une attaque massive par déni de service distribué (DDoS) à un jour et à une heure spécifiés, à moins que vous ne payiez. Et ils l’ont fait, gelant les sites Web des principales organisations du monde entier.
La Poste Mobile victime d'un ransomware
Le réseau français de téléphonie mobile La Poste Mobile peine toujours à se remettre d’une attaque de ransomware qui a paralysé ses services administratifs et de gestion. Le site Web de la société est en panne, avec un long message aux clients expliquant que l’attaque par ransomware a commencé le 4 juillet. Bien que le service n’ait pas été affecté, la société a noté que les données des clients avaient peut-être été consultées. « Dès que nous avons eu connaissance de cet incident, nous avons pris les mesures de protection nécessaires en suspendant immédiatement les systèmes informatiques concernés. Cette mesure de protection nous a conduits à fermer temporairement notre site internet et notre espace client », a indiqué la société. La Poste Mobile compte plus de 1,8 million de clients et a été fondée en 2011 par le groupe de services postaux français La Poste et la société française de télécommunications SFR. La société a réalisé un chiffre d’affaires d’environ 517 millions de dollars l’an dernier.
Les attaques utilisant la faille Follina dans Windows se multiplient
Alors que les groupes de pirates informatiques continuent de marteler un ancien zéro-day de Windows qui facilite l’exécution inhabituelle de code malveillant sur les ordinateurs cibles, Microsoft fait profil bas, refusant même de dire s’il a l’intention de corriger.
Des chercheurs en sécurité informatique entreprise ont découvert de nouvelles méthodes d’attaque que les acteurs de la menace utilisent pour tirer parti d’une vulnérabilité zéro-day appelée “Follina” dans le logiciel Microsoft Office.
La vulnérabilité Follina permet à un attaquant distant non authentifié de prendre le contrôle d’un système en exploitant des documents Microsoft Office téléchargés, en particulier dans Word.
Lorsque le code malveillant appelé AsyncRAT s’exécute sur un système, il effectue des vérifications anti-analyse. Il collecte ensuite des informations sur le système infecté, notamment des informations sur le système d’exploitation, le nom d’utilisateur, l’identification du matériel et le chemin d’exécution. Toutes ces informations sont envoyées à un serveur de commande et de contrôle.
La cyberguerre en Ukraine
La guerre actuelle en Ukraine est susceptible de voir les cyberattaques devenir plus répandues. Le gouvernement ukrainien a formé des pirates informatiques volontaires pour cibler la Russie. Anonymous a également déclaré son intention de cibler la Russie. Si le conflit ne se déroule pas comme la Russie l’avait espéré et qu’elle perçoit la fourniture d’armes par les pays européens à l’Ukraine comme hostile, elle pourrait ordonner aux pirates informatiques russes d’étendre leur portée et de se tourner vers les cyberattaques pour paralyser les efforts russes opposés.
L’impact des cyberattaques peut être bien plus large que leurs cibles et se propager à d’autres pays. Par exemple, alors que NotPetya ciblait l’Ukraine, son effet a été ressenti aux États-Unis, au Royaume-Uni et en Australie.
Une attaque ransomware contre la CCR (Caisse Centrale de Réassurance) par un nouveau groupe : Lilith
La nouvelle opération de rançongiciel Lilith est récemment apparue, Lilith ayant déjà répertorié sa première victime, le réassurreur publique CCR ou Caisse Centrale de Réassurance, sur son site de fuite de données. L’auteur de la cyberattaque menace de divulguer plus de 1To de données. Le site du réassureur public est à ce jour inaccessible.
Des chercheurs ont découvert que l’exécution de Lilith inciterait les tentatives de mettre fin aux processus correspondant aux entrées de liste codées en dur dans le but de faciliter le processus de cryptage. Les notes de rançon sont déployées par le ransomware sur tous les dossiers énumérés avant le chiffrement, ce qui ignore les fichiers EXE, SYS et DLL, ainsi que les navigateurs Web, les fichiers de programme et les dossiers de la corbeille. De plus, Lilith exclut également un fichier avec la clé publique locale du rançongiciel, ce qui peut suggérer une association entre les deux souches. L’API cryptographique de Windows est ensuite utilisée pour chiffrer les fichiers, tandis que la génération de clé aléatoire est effectuée par la fonction CryptGenRandom de Windows.
Le ransomware LockBit sévie violemment depuis le premier semestre
LockBit (anciennement connu sous le nom de ransomware ABCD) est un opérateur RaaS de trois ans qui a été lié à des attaques très médiatisées récemment après le lancement en juin d’une campagne de marketing astucieuse pour recruter de nouveaux affiliés. Il prétend offrir le cryptage le plus rapide du marché des rançongiciels. LockBit a eu un impact sur plusieurs industries. Plus de 420 victimes sont répertoriées au premier semestre sur le site de fuite du groupe. Ses victimes comprennent des organisations aux États-Unis, au Mexique, en Belgique, en Argentine, en Malaisie, en Australie, au Brésil, en Suisse, en Allemagne, en Italie, en Autriche, en Roumanie et au Royaume-Uni.
L’actualité de la CNIL
Si une quantité considérable de cybercrimes ne sont actuellement pas signalés en France et dans d’autres pays, c’est souvent parce que les entreprises s’inquiètent de la perte de réputation qui pourrait découler de la révélation de leur statut de victime, ou parce que les groupes de rançongiciels menacent de nouvelles représailles si leurs crimes sont signalés.
C’est pour cette raison que la CNIL, l’autorité chargée de la protection des données en France, se concentre plus fortement sur le contrôle de sécurité des sites. Cette dernière a épinglé quinze sites internet publics et privés n’étant pas conformes aux règlements RGPD. La CNIL a également proposé des recommandations sur la manière de prévenir ces attaques en sensibilisant les employés et les utilisateurs aux risques et aux bonnes pratiques de la sécurisation des données et en mettant en œuvre les mesures techniques appropriées telles que le test d’intrusion. La CNIL a en outre indiqué qu’en cas d’attaque, il est crucial de comprendre l’origine de l’attaque pour limiter son impact, d’informer toute personne concernée et d’enregistrer l’attaque afin qu’elle puisse être signalée à la CNIL dans les 72 heures. Conformément à l’article 33 du règlement général sur la protection des données (règlement (UE) 2016/679) (« RGPD »).
