Ransomwares, divulgation de données et malware-as-a-service dans le Dark Web. Partie 1/2

Avec la récente crise sanitaire, la cybersécurité constitue une véritable pierre angulaire de notre environnement. D’une part, elle doit assurer la résilience du système d’information étatique et de santé, d’autre part, elle doit assurer des conditions pérennes de télétravail aux personnes pouvant exercer leurs activités à distance.

 

2020, une année propice à l’augmentation des attaques.

Cette résilience est mise à rude épreuve avec les attaques successives d’entités de différents secteurs. Les cyberattaques, bénéficiant d’un contexte de crise inédit, se traduisent par une croissance exponentielle des attaques de type ingénierie sociale, hameçonnage, compromission d’atouts commerciaux et enfin une recrudescence de malware et de ransomware.

En effet, les hackers capitalisent sur la confusion et sur la peur liées à la pandémie, afin d’en tirer parti et d’optimiser leurs chances d’atteindre leur cible. Les attaques de type hameçonnage ont augmenté d’environ 665% depuis le début de la crise. Cela se traduit par la déstabilisation et la paralysie d’encore plus d’entités, qu’elles soient publiques ou privées. Ainsi, nous pouvons prendre comme exemples le secteur hospitalier avec la cyberattaque de l’AP-HP en mars 2020*, le secteur privé avec Sopra Steria en novembre 2020**, ou encore les collectivités territoriales avec la ville d’Angers en janvier 2021***.

En 2020, les ransomwares figurent à la première place des risques les plus fréquents et dangereux de ces dernières années.

 

[*]      https://www.aphp.fr/contenu/les-echos-lap-hp-victime-dune-cyberattaque

[**]     https://www.soprasteria.com/fr/media/communiques/details/informations-relatives-%C3%A0-la-cyberattaque

[***]      https://www.lemonde.fr/pixels/article/2021/01/18/la-metropole-d-angers-victime-d-un-rancongiciel-qui-paralyse-ses-systemes-informatiques_6066697_4408996.html

 

Communiqué des hackers responsables du malware Maze sur le Dark Web à propos du Covid-19

Qu’est-ce qu’une attaque par Ransomware ?

Les attaques par ransomware qui visent des entreprises ou des institutions ont pour but initial d’obtenir le paiement d’une somme d’argent en échange de la libération des données chiffrées. Il n’est donc pas prévu d’emblée que l’attaque soit rendue publique. Tout peut se passer dans la plus grande discrétion entre l’attaquant et sa victime. Il est néanmoins fréquent que les attaques fassent l’objet d’une communication sur certains canaux.

La principale raison qui peut conduire l’attaquant à communiquer sur son action est le refus de la victime de payer la rançon. Les opérateurs du ransomware passent alors à une pratique beaucoup plus classique qui consiste à menacer de diffuser les données de la victime. C’est donc une nouvelle étape dans la tentative d’extorsion. La menace est matérialisée par le biais d’un site web dédié et géré directement par l’équipe de hackers. Il s’agit très souvent d’un site du Deep Web, doublé d’un miroir* dans le Dark Web destiné à contrer les tentatives de blocage de nom de domaine.

Captures d’écran menace de diffusion de données de la victime.

Sur leur site, les hackers recensent toutes les victimes qui ne leur cèdent pas.

Dans un premier temps, ils mettent en libre accès un fichier texte qui donne la liste des fichiers détenus.

Extrait d’une liste de fichiers chiffrés diffusée par une équipe de hackers.

Que se passe-t-il en cas de refus de la part de la victime ?

En cas de refus persistant de la victime, les hackers déclenchent alors la première phase de rétorsion : la diffusion partielle des données elles-mêmes. Nous n’avons pas pu identifier de pratique commune en ce qui concerne le choix des premières données divulguées. Suivant les cas, il s’agit de données plus ou moins stratégiques et sensibles.

Diffusion d’un premier lot de données d’une victime du groupe Egregor.

Si cette diffusion partielle ne suffit pas à faire plier la victime, d’autres fichiers sont alors mis à disposition, jusqu’à la fuite complète des données. En cela, le processus est rigoureusement identique à celui du très usuel chantage à la divulgation de données. Finalement, la seule nouveauté introduite par l’attaque par ransomware telle que conduite ici est la phase de chiffrement des données de la cible, qui est déjà en soi un handicap majeur pour la victime.

Activité classique de chantage à la divulgation de données, sans utilisation de ransomware.

Les données sont le plus souvent divulguées sous forme d’archives d’un volume variable, en fonction de la masse de données collectées par les hackers. Certaines fuites pèsent ainsi au total plusieurs centaines de giga-octets. Il arrive également que les hackers proposent de télécharger chaque fichier séparément dans une liste non triée. Certains proposent aussi de naviguer dans les données en reproduisant l’arborescence des répertoires de la victime.

Fuite de données non triées.

Reproduction de l’arborescence des répertoires de la victime

Quel est le profil des victimes ? Comment les hackers fonctionnent ? Quelles sont les préconisations ?

 

Les réponses seront dans le prochain article : “Ransomwares, divulgation de données et malware as a service dans le Dark Web, Part 2/2.”