Ransomwares, divulgation de données et malware-as-a-service dans le Dark Web. Partie 2/2

Dans la 1ère partie de l’article, nous avons décrit ce qu’était une attaque par Ransomware. Nous avons également décrit ce qu’il pouvait se passer en cas de refus des victimes de payer la rançon. Enfin nous avons illustré la forme que pouvait prendre la divulgation des données  sur le Dark Web.

Nous vous laissons découvrir cette deuxième partie.

 

Les TPE sont aussi concernées.

Le profil des victimes des attaques de groupes tel qu’Egregor (dont une partie a été arrêtée en Ukraine au mois de février 2021) confirme que la menace d’une attaque par ransomware ne concerne pas uniquement des entreprises ou des institutions d’envergure et de notoriété internationales. Certes, parmi les cibles de ces pratiques, nous retrouvons de grands groupes, mais également des entreprises de taille intermédiaire, comme une entreprise rhodanienne de 340 salariés ou même une entreprise canadienne de logistique de moins de 60 salariés.

Les opérateurs de ransomwares fonctionnent en effet selon le principe d’opportunité. Le profil économique de la cible leur importe peu. C’est la vulnérabilité du système informatique qui conditionne la probabilité de l’attaque.

 Ainsi, il sera plus rentable pour une équipe de cibler plusieurs petites structures mal protégées que de consacrer des efforts à pénétrer les systèmes bien verrouillés d’une entreprise consciente des risques.

La sécurité des systèmes d’information n’est malheureusement ni une préoccupation de tous, ni une garantie que toutes les structures peuvent s’offrir.

 Aussi, la facilité d’exécution associée à des canaux d’intrusion démultipliés, fait que les ransomwares sont devenus rapidement l’une des attaques les plus rentables. Cette méthode d’attaque est très répandue au sein du Dark Web, avec une surface d’attaque en augmentation perpétuelle et une structuration du marché du malware-as-a-service.

 

Exemples de “Malware-as-a-service” proposés par des hackers sur le Dark Web.

L’ANSSI, lance des alertes mais fait aussi des préconisations.

Cette menace, peu coûteuse en moyens et pouvant rapporter gros pour les attaquants, est désormais ancrée au sein du paysage des menaces cyber.

En effet, l’ANSSI a édité un bulletin d’alerte en septembre 2020 concernant Emotet, un ransomware particulièrement répandu. Celle-ci a noté une recrudescence du ciblage d’entités françaises par ce code malveillant. Toutefois, la France n’a pas semblé être le seul pays touché par Emotet, la Nouvelle-Zélande et notamment le Japon en ont été également victimes.

 

 

Discussions sur un forum du Dark Web à propos de nouvelles cibles (capturées par Aleph Search Dark)

Proposition rémunérée d’un utilisateur cherchant à utiliser le coronavirus comme vecteur de propagation du ransomware Emotet (capturée par notre logiciel)

En plus du bulletin d’alerte de septembre dernier, l’Agence a également publié le 29 octobre 2020 une étude sur le malware-as-a-service en prenant comme exemple l’activité d’Emotet. Cette nouvelle tendance permet d’externaliser une cyberattaque auprès d’un hacker contre rétribution, sans aucune connaissance requise. Cette « ubérisation » de la cyberattaque ne fait qu’amplifier les menaces existantes. Désormais, quiconque ayant les moyens, peut s’offrir les services d’un hacker. Cela pouvant aller de la compromission de simples comptes de réseaux sociaux ou de messagerie à la déstabilisation complète de systèmes d’information.

 

Exemple de mise à disposition de ressources pour exécuter des attaques de type ransomware au sein du Dark Web.

Services de hacking « classiques » sur le Dark Web

Nous pouvons constater que la France reste une cible privilégiée des hackers concernant ce type de cyberattaque. En effet, le réseau affilié à ce ransomware ait été démantelé fin janvier 2021 par Europol. Alors que les vecteurs d’attaque se multiplient, les hackers en profitent pour structurer leurs activités en créant un véritable commerce de la cyberattaque. Non seulement ce type d’attaque informatique est la plus répandue, mais aussi les conséquences sont lourdes pour les entités touchées.

La prudence semble être la meilleure recommandation de première intention car l’imagination des hackers semble être sans limite. L’ANSSI publie un certain nombre de recommandations dans son guide. Toutes les entreprises sont concernées, quelle que soit leur taille et chaque membre de l’entreprise l’est aussi, car la réussite de ce type d’attaques dépend de l’erreur humaine.