Mois de la Cybersécurité : Rançongiciels

Le 11 avril, 2022, le groupe russe de cybercriminels Conti a réussi à accéder à un système appartenant au ministère des Finances du Costa Rica via une connexion VPN en utilisant des identifiants volés obtenus par du malware (logiciel malveillant) préalablement installé sur un appareil du réseau de la victime.
Ce qui suivait a été une série d’attaques de rançongiciels contre le gouvernement de la nation, si dévastatrices que le président du Costa Rica, Rodrigo Chavez, a déclaré le premier état d’urgence national en raison de la cybercriminalité le 8 mai. Entre-temps, 27 institutions gouvernementales ont été compromises par les attaques, y compris le ministère des Finances, le ministère de la Science, de la Technologie et des Télécommunications (MICITT), l’Institut météorologique national, la Caisse de sécurité sociale et le ministère du Travail et de Sécurité sociale. Après le refus du Costa Rica de payer la demande de rançon initiale de 10 millions de dollars, Conti a augmenté son montant à 20 millions de dollars.
Juste au moment où le pays commençait à reprendre le contrôle de l’attaque de Conti, la Caisse de Sécurité sociale a été [frappée] par une deuxième offensive, cette fois liée au groupe HIVE, qui est censé avoir des liens avec Conti.
Le commerce international a été paralysé, les entreprises locales d’importation et d’exportation subissant des pertes allant de 38 millions de dollars par jour à 125 millions de dollars pendant les 48 heures suivant l’attaque initiale. Les paiements de taxes et les systèmes douaniers ont été perturbés, les systèmes de santé ont été mis hors service, empêchant les parents de localiser leurs enfants en chirurgie, et plus de 30 000 rendez-vous médicaux d’être réalisé, et les fonctionnaires ont été obligés de demander leur salaire à la main sur papier, car les services automatiques de paiement étaient désactivés.
Lorsqu’aucun paiement n’a été effectué, Conti a commencé à téléverser 672 Go de fichiers volés du gouvernement costaricien sur leur site web, avant de commencer supposément à se dissoudre.
Plusieurs semaines plus tard, les services de Conti étaient hors ligne. On croit que les membres du groupe continuent d’opérer au sein d’une organisation différente, dispersés dans des opérations telles que HIVE, Quantum, AvosLocker et Hello Kitty.

Rançongiciel : Un type de logiciel malveillant conçu pour bloquer l’accès à un système informatique jusqu’à ce qu’une somme d’argent soit versée.

Les rançongiciels sont une forme de malware distribués via des pièces jointes d’e-mails infectés et des sites web compromis. Ils prennent en otage des données ou des systèmes en les cryptant, jusqu’à ce qu’une rançon soit payée pour obtenir la clé de décryptage. L’augmentation de plus de 37% des attaques de rançongiciels en 2023 par rapport à l’année précédente constitue une menace croissante pour les entreprises et les institutions publiques de toutes tailles et de tous secteurs, car ces attaques entraînent souvent des graves perturbations opérationnelles, atteintes à la réputation et violations de données, ainsi que des pertes financières significatives, avec une demande de rançon moyenne de 5,3 millions de dollars, et un paiement moyen de rançon dépassant 100 000 dollars, sans parler des coûts affronté pour répondre à l’attaque.

Ces types d’attaques ont représenté 10% des violations critiques des infrastructures en 2023. Les méthodes efficaces d’infiltration de réseaux évoluent, car les cybercriminels continuent de développer de nouvelles tactiques, ce qui, compte tenu du nombre croissant d’attaques, nous a poussé à illustrer les moyens les plus courants par lesquels les rançongiciels infectent les serveurs :

Phishing

Responsable de 90% des violations de données dans le monde, le phishing est naturellement l’une des méthodes de distribution les plus courantes pour déployer des rançongiciels. Des e-mails non sollicités imitant des entités de confiance sont distribués pour tromper les utilisateurs afin qu’ils cliquent sur des liens et des pièces jointes malveillants qu’ils contiennent, téléchargeant et exécutant ainsi les rançongiciels sur le serveur de l’utilisateur. Dans notre article sur le phishing, nous abordons ce sujet de manière plus approfondie.

Exploits du RDP (Remote Desktop Protocol)

Le RDP est un protocole permettant l’accès à distance aux serveurs, utilisé, par exemple, par les administrateurs système pour la maintenance et le dépannage des postes de travail à distance, par le personnel de support informatique pour l’assistance aux problèmes techniques, et pour faciliter le télétravail. Si une connexion RDP n’est pas correctement sécurisée et patchée avec des mots de passe solides et complexes, ou une authentification multi-facteurs, des vulnérabilités peuvent être facilement exploitées, offrant aux attaquants l’opportunité d’accéder illégalement aux serveurs et de déployer des rançongiciels.

Mots de passe faibles

Bien que deviner des mots de passe par force brute puisse sembler peu probable, il reste – ou plutôt est devenu – une stratégie de plus en plus efficace pour les cybercriminels pour accéder aux serveurs. Grâce à des techniques avancées, un hacker est capable d’essayer 2,18 billions de combinaisons de mots de passe et de noms d’utilisateur en 22 secondes, et peut craquer un mot de passe de huit caractères en lettres minuscules en moins d’une seconde. Une fois entré dans le serveur, les attaquants peuvent le compromettre et y installer du rançongiciel.

Vulnérabilités logicielles

Les vulnérabilités de logiciels sont des faiblesses ou des défauts dans les programmes numériques ou les systèmes d’exploitation, résultant de raisons telles que des erreurs de programmation, des défauts de conception, et des problèmes non résolus. Ces vulnérabilités peuvent être détectées et, par conséquent, exploitées par les attaquants pour accéder aux systèmes et perturber les opérations normales en compromettant leur sécurité et en facilitant l’infiltration de rançongiciels.

Ingénierie sociale (Social Engineering)

Alors que cela puisse être considéré comme relevant de la catégorie du phishing, nous suggérons que c’est l’inverse. L’ingénierie sociale est une forme de manipulation psychologique exploitant les émotions humaines, la confiance et les tendances naturelles pour tromper les individus et les amener à divulguer des informations sensibles ou à compromettre leur sécurité. Les tactiques comprennent le phishing, le baiting, le pretexting, le tailgating, le quid pro quo et l’ingénierie sociale inversée, et sont utilisées pour décevoir la cible afin de révéler des identifiants d’accès à des tiers non autorisés, leur permettant d’accéder aux serveurs et de désactiver les mesures de sécurité.

Les rançongiciels peuvent également infiltrer les serveurs lors des sauvegardes systèmes, et bien que celles-ci constituent une mesure préventive essentielle contre de telles attaques, il est important de s’assurer que les sauvegardes sont isolées du réseau lors de leur exécution afin d’éviter ces dernières.
Pour empêcher la propagation de malware, terme utilisé pour décrire la propagation de logiciels malveillants tels que les rançongiciels entre les systèmes de manière contagieuse, il est nécessaire de mettre en place une segmentation de réseau solide et des contrôles d’accès suffisants.

De plus, les acteurs des rançongiciels ont augmenté leurs profits en exploitant le RaaS (Rançongiciels en tant que Service), qui sont souvent des miroirs criminels des entreprises conventionnelles, avec des équipes de recherche et développement, des équipes commerciales, des départements de contrôle de qualité, et même de RH, et des attaques de rançongiciels non cryptées, devenant une menace croissante, car elles se concentrent sur le vol et la menace de divulgation de données au lieu de les chiffrer, ajoutant ainsi un nouveau niveau de complexité et de défis pour les professionnels de la cybersécurité.

Quoique les rançongiciels soient un sujet complexe, et il peut sembler que les organisations de cybercriminels seront toujours une longueur d’avance, il est possible de prévenir ces attaques en restant informé et en mettant en place plusieurs couches de mesures de sécurité, notamment l’installation et la mise à jour d’un logiciel antivirus, la constitution d’une équipe solide dédiée à la cybersécurité, la formation des employés et des utilisateurs, et la mise en place d’un plan de réponse aux incidents, pour le pire des cas.
Si ledit scénario se produit, l’option de payer la rançon ne doit pas être exclue. Bien qu’elle devrait rester le tout dernier recours, étant donné que la majorité des entreprises ayant déjà payé une rançon ont été victimes d’au moins une attaque ultérieure, cette option devrait néanmoins être envisagée comme une solution potentielle lorsque tous les autres efforts ont été épuisés.

Sources: Zscaler , Astra , Techopedia , Check Point Research , Intelekto