Dans son rapport annuel « État de la menace rançongiciel » publié le 1er février 2021, l’Agence nationale de la sécurité des systèmes d’information (ci-après, ANSSI) dresse un bilan alarmant concernant les attaques par rançongiciel par chiffrement à finalité lucrative et concernant leur impact sur les entreprises et institutions.

L’ANSSI apporte à la fois des précisions terminologiques, des explications techniques et des données chiffrées.

Ainsi, l’ANSSI définit un rançongiciel comme « un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent. » Certains rançongiciels ont également la capacité de chiffrer des fichiers stockés sur le réseau de la victime.

Elle constate une augmentation de 255% des signalements d’attaques par rançongiciels par rapport à 2019 avec 192 incidents rapportés en 2020 contre 54 en 2019.

Cette hausse annuelle serait facilitée par « le modèle du RaaS, ainsi que par un écosystème cybercriminel fournissant un support à tout moment de la chaîne d’infection ». S’ajoute à cela un contexte favorable avec la mise en place croissante des assurances cyber souscrites pour permettre le paiement des rançons et l’émergence de sociétés spécialisées dans la négociation et la médiation entre les victimes et les attaquants.

 

3 tendances constatées en 2020

  • Big Game Hunting : lorsque des groupes cybercriminels « favorisent le ciblage d’entreprises et institutions particulières dans leurs attaques par rançongiciel ».
  • Ransomware-as-a-service (RaaS) fonctionnant par un système d’affiliation avec des campagnes massives. Le code malveillant « propose l’accès sous forme d’abonnement ou de partenariat à un rançongiciel, ses infrastructures de paiement et de distribution ainsi qu’à un ensemble de services back-office, le tout sous une forme « prête à l’emploi » ». Ce modèle était le plus répandu en 2020.
  • Double extorsion : lorsque l’attaquant fait « pression sur la victime en exfiltrant ses données et en la menaçant de les publier sur un site Internet, généralement en union, afin qu’elle paye la rançon ». Certains groupes criminels vont jusqu’à mettre les données exfiltrées aux enchères sur un espace de vente dédié.

 

Sur les chaînes d’infection générale

« Les vecteurs d’infection des attaques par rançongiciel se sont diversifiés. » Parmi eux, l’ANSSI recense :

  1. Les courriels d’hameçonnage.
  2. Les « points d’eau compromis » lorsque la victime de l’attaque clique sur une URL reçue par courriel alors que le site Internet sur lequel elle accède est compromis et participe à la distribution du rançongiciel, d’une charge intermédiaire voir d’un kit d’exploitation
  3. L’accès aux RDP mal sécurisés.
  4. Certaines attaques par rançongiciel exploitent la vulnérabilité du système informatique et la faible protection numérique de la victime. Ainsi, les serveurs, les logiciels VPN et les logiciels de surveillance et de gestion à distance (autrement appelé RMM pour Remote Monitoring and Management) sont particulièrement ciblés.
  5. Les attaques de type supply-chain.

 

Sur l’écosystème criminel des opérateurs de rançongiciel

Un écosystème complexe, organisé et structuré s’est développé en la matière.

On parle de « Cybercrime-as-a-service ».

Il est constitué « de vendeurs et d’acheteurs de biens (codes malveillants, accès compromis, données personnelles volées, etc.) et de services (location d’infrastructures de déni de service, d’anonymisation, etc.). Les opérateurs de rançongiciel peuvent sous-traiter une grande partie des ressources et outils nécessaires à la réalisation de leurs opérations. Les attaquants peuvent ainsi sous-traiter la compromission du SI de leurs cibles en ayant recours à des services de distribution ou en louant des botnets de pourriels. »

Enfin, on observe une nouvelle tendance de collaboration entre opérateurs de rançongiciels avec des partages de conseils, d’informations, des codes ou des techniques.

 

Victimologie des attaques par rançongiciel

Concernant les attaques non ciblées par rançongiciel, « aucun secteur d’activité ni zone géographique n’est épargné ».

Les collectivités locales, le secteur de l’éducation, le secteur de la santé et les entreprises de services numériques (ci-après, ESN) sont les cibles principales de ces attaques.

Les trois premières catégories d’entités sont visées à cause du faible niveau de sécurité de leur système d’information. L’ANSSI constate également qu’elles sont plus disposées à payer rapidement les rançons. Ceci afin de récupérer leurs données et éviter une rupture d’activité qui aurait un impact politique ou social important. Dans un contexte de pandémie de la Covid-19, les attaques à l’encontre des hôpitaux ont augmentées.

Les attaques envers les ESN sont susceptibles d’atteindre plusieurs victimes en même temps : non seulement les ESN elles-mêmes mais aussi leurs clients et leurs partenaires numériques. Cela rend ces entités attractives aux yeux des groupe cybercriminels.

 

Sur les demandes de rançon.

Les montants des rançons varient en fonction de l’efficacité de l’attaque et du statut de la victime. Pour exiger le paiement de la rançon, on recense plusieurs possibilités. Ainsi la victime peut contacter les attaquants « soit via une adresse courriel de contact qui lui est fournie (cas par exemple de Netwalker [46]), soit via le site en .onion associé au rançongiciel, soit via un site alternatif ne nécessitant pas l’installation de Tor. LockBit propose par exemple ces deux dernières possibilités ».

 

« Le paiement d’une rançon n’assure pas l’éviction des attaquants du SI compromis, signifiant que des opérations de nettoyage et la mise en place de mesures permettant de faire monter le niveau de sécurité du système d’information seront nécessaires dans tous les cas. De plus, le versement de la rançon n’assure pas à la victime de recevoir la clé de déchiffrement ni que les données potentiellement exfiltrées seront effacées ou ne seront pas utilisées à des fins malveillantes. »

 

Depuis 2020, des opérateurs de rançongiciels mettent aux enchères les données exfiltrées aux victimes sur un espace de vente dédié.

 

Conséquences d’une attaque par rançongiciel

Les victimes d’attaques par rançongiciel subissent plusieurs préjudices, dégâts et couts qui peuvent notamment comprendre :

  • « des pertes financières, qui concernent toutes les victimes : extorsion d’argent en cas de paiement de la rançon,
  • coût des investigations numériques et de la remédiation ou restauration du SI par un prestataire. Ces pertes ont été estimées par Sopra Steria, victime de Ryuk en octobre 2020, à environ 50 millions d’euros ;
  • une perte d’exploitation, à durée variable : par exemple, arrêt de la production pour une usine, impossibilité temporaire de fournir les services administratifs habituels pour une mairie ou de livrer un projet pour un cabinet d’architecture. En avril 2019, l’attaque par rançongiciel à l’encontre de Fleury-Michon a ainsi provoqué
  • un arrêt de l’activité pendant trois jours et un fonctionnement en mode dégradé pendant deux semaines;
  • un risque sur la santé des patients, en ce qui concerne les établissements de soin (type Centre Hospitalier ou Urgences notamment). Cela se traduit par l’impossibilité d’accueillir de nouveaux patients, nécessité de les rediriger vers d’autres établissements, perte du standard téléphonique.
  • l’atteinte à l’image ;
  • une perte de clients;
  • une perte de confiance à l’égard de l’organisation victime;
  • des pertes de données : R&D, comptabilité, facturation, projets, données de clients;
  • l’atteinte à l’intégrité des données sensibles ou classifiées;
  • l’impossibilité de verser les salaires des employés au cas où l’application RH fait partie du SI endommagé;
  • un impact psychologique de la résolution de l’incident, dû à un manque de ressources et de compétences,
  • dans le cas notamment de petites structures;
  • des victimes collatérales en cas de déploiement du rançongiciel sur des réseaux interconnectés.»

 

 

Nos recommandations pour maîtriser sa responsabilité et limiter les impacts d’un rançongiciel ?


C’est ici =>Ransomware, comment se protéger techniquement et juridiquement ?

 

Claudia Weber, Avocat fondateur du Cabinet ITLAWAvocats

et Marine Hardy, Avocat responsable du Pôle Innovation et Sécurité. Marine a brillamment réussi le MOOC de l’ANSSI sur la cybersécurité

Besoin d’aide ?

Nous accompagnons nos clients dans cette anticipation et aussi dans la défense de leurs intérêts en cas d’attaque sur leur système d’information.

En cas de problème et quelle que soit la nature de l’attaque contre votre SI, nous sommes à vos côtés pour protéger vos intérêts et gérer au mieux la sortie de crise.

ITLAW Avocat mobilise ses talents et son expertise en matière de sécurité, de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT pour vous accompagner dans l’anticipation des failles de sécurité et dans la gestion de crise.

Découvrez nos offres innovantes en matière de sécurité ainsi que nos formations spécifiques en sécurité.

Pour découvrir nos packages “Sécurité” composé de nombreux modèles de document, notamment plaine pénale, ect… contactez-nous.

 

Pour aller plus loin:

 

Nous contacter