En ce moment

Le ransomware au coeur des cyberattaques 2019

Posté le 4 février 2020
par Séverine Fontaine
dans Informatique et Numérique

Les cyberattaques par ransomware se font de plus en plus sophistiquées, en témoigne l’Anssi qui est intervenue en 2019 sur pas moins de 69 incidents. Finies les “simples” attaques non ciblées ou massives, la tendance est au “Big Game Hunting”.

Le ransomware (ou rançongiciel en français) est un moyen d’attaque très privilégié par les cyberattaquants. Après les campagnes d’attaques non ciblées qui ont débuté en 2014, les attaques massives à propagation automatique en 2017 (comme Wannacry), le monde fait face à une nouvelle typologie d’attaques depuis 2018 connue sous le nom de “Big Game Hunting”. “Cette dernière met en œuvre des méthodes et techniques d’attaques auparavant réservées à des opérations d’espionnage informatique opérées par des attaquants étatiques (exploitation de vulnérabilité 0-day, propagation manuelle et furtive)”, précise l’Anssi dans son document “Etat de la menace rançongiciel”. Elles ciblent de grandes entreprises et institutions en capacité de verser de grosses sommes d’argents.

Depuis fin 2019, le mode opératoire varie : l’exfiltration des données avant chiffrement pour s’en servir comme moyen de pression sur les entreprises touchées. “L’attaquant contacte le chef d’entreprise pour payer la rançon” explique Jérôme Notin, directeur général du dispositif Cybermalveillance.gouv.fr. “S’il ne paie pas, il diffuse des informations de l’entreprise comme les fichiers clients ou de propriété intellectuelle. Le patron prend peur, à la fois pour sa réputation mais également de payer une amende [pour non-respect du RGPD, ndlr]. Cette technique risque de démultiplier le nombre de personnes qui payent les rançons.”

69 incidents gérés par l’Anssi

En France, en 2019, l’Anssi a traité pas moins de 69 incidents relatifs à des attaques par rançongiciels. Parmi elles, on note celles des sociétés Altran en janvier, Fleury Michon en avril, Ramsay Général de Santé en août et le CHU de Rouen en novembre. Les collectivités territoriales et le secteur de la santé sont les principaux visés par les attaques. “Une quinzaine de rançongiciels sont concernés par ces incidents, laissant envisager que plusieurs dizaines de rançongiciels différents impactent réellement l’ensemble de l’espace économique français”, ajoute l’Anssi.

Pour prendre l’exemple du CHU de Rouen, touché le 15 novembre 2019 par le rançongiciel Clop [voir page 26 du rapport de l’Anssi], la compromission s’est réalisée via l’ouverture d’un courriel malveillant qui a permis à l’attaquant de déployer différents outils de reconnaissance et de propagation manuelle. Parmi ces outils : SDBBot, Metasploit, CobaltStrike ou encore Mimikatz. “Ces actions manuelles lui ont permis de prendre le contrôle du domaine et de déployer dans la nuit de vendredi à samedi le code de chiffrement sur la majorité du parc informatique, précise l’Anssi. Les investigations ont permis d’associer l’attaque à une large campagne ciblant des universités européennes, opérée par l’important groupe cybercriminel russophone TA505 et ayant notamment touché les universités d’Anvers fin octobre et de Maastricht en décembre”. Car ce type d’attaques par ransomwares est d’envergure mondiale : l’industriel norvégien Norsk Hydro en mars, la municipalité de Baltimore en mai, les laboratoires de recherche Eurofins Scientific en juin ou encore la compagnie américaine Southwire en décembre.

De l’exécutable à l’url piégée

Un autre gros changement a été relevé au cours de l’année 2019 : le passage de l’exécutable à l’url “piégée”. “Il n’y a quasiment plus de mails envoyés avec un exécutable compromettant, mais des messages avec l’intégration d’une simple url sur lequel le destinataire est invité à cliquer”, précise Loïc Guézo, spécialiste en cybersécurité au sein de Clusif. “Les attaquants font beaucoup plus de social engineering pour que l’e-mail semble venir d’un vrai sous-traitant ou partenaire”. Cette url est plus difficile à détecter par le système d’analyse qui essaie de prédire le niveau de nocivité d’un contenu, car celle-ci peut être envoyée “sans charge négative”, c’est-à-dire sans adresse vers un site compromettant. “L’attaquant peut par exemple mettre cette charge 3h après avoir envoyé le mail” ajoute l’expert. “Le fait de passer par des url permet de passer sans problème beaucoup de ces technologies.”

Bien que l’utilisation du rançongiciel se développe de façon exponentielle, il ne faut cependant pas oublier que “l’espionnage reste l’activité de base dans le domaine de l’attaque informatique” met en garde Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information. “Cette attaque est toujours sous-estimée. On en parle très peu car on ne sait pas évaluer son impact économique. Ces attaques se font via les prestataires, la supply chain, en tirant partie des écosystèmes complexes.”


Pour aller plus loin