Les cybercriminels testent leurs derniers rançongiciels sur des entreprises en Afrique, Asie et Amérique du Sud avant de viser des pays plus riches disposant de méthodes de sécurité plus sophistiquées. Selon un rapport publié par la société de cybersécurité Performanta, les hackers ont adopté une stratégie consistant à infiltrer les systèmes des pays en développement avant de s’attaquer à des cibles de plus grande valeur en Amérique du Nord et en Europe.
« Les adversaires utilisent les pays en développement comme une plateforme où ils peuvent tester leurs programmes malveillants avant de cibler les pays plus riches », a déclaré la société à Banking Risk and Regulation, un service de FT Specialist.
Cibles récentes des rançongiciels
Parmi les cibles récentes de rançongiciels, on trouve une banque sénégalaise, une entreprise de services financiers au Chili, une société fiscale en Colombie et une agence économique gouvernementale en Argentine. Ces attaques ont été menées dans le cadre des essais effectués par les gangs dans les pays en développement.
Augmentation des cyberattaques
Impact de la pandémie de COVID-19
Les recherches montrent que les cyberattaques ont presque doublé depuis avant la pandémie de COVID-19, exacerbées dans le monde en développement par une numérisation rapide, de bons réseaux Internet et une protection « inadéquate », selon le FMI.
Les pertes signalées dues aux incidents cybernétiques pour les entreprises du monde entier depuis 2020 s’élèvent à près de 28 milliards de dollars, avec des milliards de dossiers volés ou compromis. Le FMI a ajouté que les coûts totaux étaient probablement « considérablement plus élevés ».
Tactique du « terrain d’essai »
La tactique du « terrain d’essai » fonctionne car les entreprises de ces pays ont « moins de conscience de la cybersécurité », selon Nadir Izrael, directeur technique du groupe de cybersécurité Armis.
Par exemple, pour attaquer des banques, les hackers peuvent essayer un nouveau paquet d’armes dans un pays comme le Sénégal ou le Brésil, où il y a suffisamment de banques similaires à celles qu’ils souhaitent attaquer.
Les gangs cybernétiques
Un exemple de gang cybernétique
Medusa, un gang cybernétique qui « transforme les fichiers en pierre » en volant et en cryptant les données des entreprises, a commencé à attaquer des entreprises en 2023 en Afrique du Sud, au Sénégal et à Tonga. Medusa était responsable de 99 violations aux États-Unis, au Royaume-Uni, au Canada, en Italie et en France l’année dernière.
Les équipes de sécurité peuvent recevoir des alertes sur une attaque imminente, mais l’utilisateur moyen n’en prend conscience que lorsqu’il est verrouillé hors de son système informatique.
Un fichier avec l’objet !!!READ_ME_MEDUSA!!!.txt. demande à l’utilisateur de se connecter au dark web et de commencer les négociations de rançon avec le « service client » du gang. En cas de refus des victimes, les attaquants publient les données volées.
Surveillance et prévention
Mise en place de « honeypots »
Les entreprises de cybersécurité surveillent le dark web pour obtenir des informations, puis mettent en place des « honeypots » — de faux sites web qui imitent des cibles attrayantes — dans les nations en développement pour détecter les attaques expérimentales à un stade précoce.
Lorsque des attaquants ont discuté d’une nouvelle vulnérabilité, CVE-2024-29201, ils ont spécifiquement ciblé quelques serveurs exposés dans les pays du tiers monde pour tester la fiabilité de l’exploitation, a déclaré Izrael d’Armis. Les attaques sur les honeypots d’Armis 11 jours plus tard ont confirmé ces soupçons : le gang a d’abord frappé l’Asie du Sud-Est avant d’utiliser les techniques plus largement.
Opportunisme et vente de rançongiciels
Attaques opportunistes
Sherrod DeGrippo, directeur de la stratégie en matière de renseignement sur les menaces chez Microsoft, a cependant déclaré que certains gangs de cybercriminels étaient trop « opportunistes » pour tester de nouvelles attaques de manière si méthodique. Les pays en développement ont plutôt connu une activité accrue car les hackers des pays plus pauvres peuvent acheter des rançongiciels bon marché et mener leurs propres petites attaques.
Des gangs comme Medusa ont commencé à vendre leurs inventions à des hackers moins sophistiqués, a déclaré la directrice de Darktrace. Ces hackers à petite échelle ne savent souvent pas comment fonctionne la technologie et l’utilisent contre des cibles plus faciles.
Lire aussi: Comment supprimer les logiciels malveillants d’un Mac ou d’un PC
Adaptation et exportation des méthodes d’attaque
Perfectionnement local et exportation
Teresa Walsh, chef du renseignement chez FS-ISAC, a déclaré que les gangs travaillaient dans l’environnement local pour « perfectionner » leurs méthodes d’attaque, puis « exportaient » leurs schémas vers des pays où la même langue pourrait être parlée : du Brésil au Portugal, par exemple.
Défenses insuffisantes dans les pays en développement
Déficit de cybersécurité en Afrique
La vitesse d’adoption numérique en Afrique dépasse le développement de mesures de cybersécurité robustes, et la conscience générale des menaces cybernétiques est faible, a déclaré Brendan Kotze, analyste cybernétique chez Performanta. « Combiné, cela crée un écart inquiétant dans les défenses que les cybercriminels exploitent », a-t-il ajouté.
Cette situation souligne la nécessité pour les entreprises et les gouvernements des pays en développement de renforcer leurs mesures de cybersécurité pour se protéger contre ces menaces croissantes.