2019 qui s’achève aura été une autre année record pour les attaques de ransomwares. Les vagues d’attaques observées aux États-Unis au début de l’année, suivies par les actions hostiles envers les administrations publiques à travers toute l’Europe, et les infractions récemment détectées en Espagne ont toutes conduit à ce que les ransomwares conservent leur place sur la liste des cybermenaces les plus importantes en 2019. Et les statistiques parlent d’elles-mêmes: les attaques de ransomwares ont bondi de 500% en 2019 par rapport à la même période en 2018.
De fait, toutes les organisations sont exposées à des failles de sécurité: Des grandes multinationales aux PME et aux administrations publiques. Selon le Forum économique mondial, le pourcentage d’organisations ayant subi une attaque en 2018 est passé à 61%. Le chiffre de 2019 devrait être encore plus élevé. Cela est en grande partie dû aux differentes vagues d’attaques de ransomwares que nous avons observé au cours de l’année.
Néanmoins, plus que des vagues spécifiquement conçues pour être déployées massivement mais de façon ponctuelle, celles-ci semblent constituer une série d’attaques qui ont coïncidé dans le temps et dans leur utilisation des ransomwares. Nous avons en effet identifié un large éventail de TTP utilisés pour porter atteinte à la sécurité des victimes de ces attaques.
Les premiers signes
Les premiers indicateurs de la série d’attaques de ransomwares que nous connaissons actuellement sont survenus en janvier. La ville de Del Rio, au Texas, a signalé une attaque de ransomware qui a affecté ses systèmes et a forcé les employés de la ville à effectuer leurs tâches administratives manuellement, avec un stylo et du papier. Les ordinateurs de l’hôtel de ville ont du être déconnectés pour empêcher les employés d’accéder au système et de propager l’infection.
Selon des médias américains, l’attaque a été menée selon une stratégie inhabituelle. L’avis de demande de rançon comprenait un numéro de téléphone pour communiquer avec les attaquants et obtenir des instructions sur la façon de payer pour récupérer leurs fichiers.
En mars, la société norvégienne Norsk Hydro a subi une attaque dévastatrice lorsqu’une souche de ransomware appelée LockerGoga a pénétré son réseau et a occasionné la fermeture forçée de 22 000 terminaux dans 40 pays. Il s’agissait d’une attaque très ciblée; selon la BBC, les attaquants ont passé des semaines sur les systèmes d’information de l’entreprise à la recherche de points faibles et de vulnérabilités avant de lancer le ransomware. La société a jusqu’à présent dépensé plus de 45 millions de livres sterling (50 millions d’euros) pour se remettre de l’attaque.
LockerGoga a probablement été livré via une attaque de phishing, potentiellement cachée dans des documents Word avec des macros malveillantes. Certaines des caractéristiques du rançongiciel pourraient suggérer que le cryptage de fichiers et la demande de rançon ne sont pas l’objectif principal de LockerGoga. Dans certaines variantes, le logiciel malveillant modifie le mot de passe de l’administrateur et déconnecte la victime à l’aide de logoff.exe, ce qui rend beaucoup plus difficile le paiement de la rançon.
L’attention se porte sur l’administration publique américaine
Alors que la tendance visant à s’en prendre par ransomware aux administrations publiques a commencé avec l’incident de Del Rio, ce n’est que quelques mois plus tard que des organisations similaires ont commencé à vraiment être touché. En mars, la mairie du comté de Jackson, en Géorgie, a déclenché une controverse en payant la rançon de 400 000 $ demandée par les cybercriminels après une attaque de ransomware – probablement une variante de Ryuk. L’infection a entrainé la fermeture de presque tous les systèmes informatique du gouvernement local, à l’exception de son site Web et de son système d’urgence.
Toujours au début du mois de mars, la fédération des polices d’Angleterre et du Pays de Galles a été victime d’une attaque de ransomware qui a réussi à chiffrer ses bases de données et ses serveurs. L’attaque a également réussi à effacer les sauvegardes que l’organisation avait créées.
En avril, la ville d’Augusta, dans le Maine, a subi ce qui a été décrit comme une attaque de ransomware hautement ciblée. Les assaillants ont exigé une rançon d’au moins 100 000 $. Heureusement, la mairie a réussi à arrêter le ransomware, et leurs systèmes étaient presque revenus à la normale le lendemain.
En mai, deux autres villes ont été attaquées en l’espace de deux jours. La premiere a été Cartersville le 6, en une seule attaque, puis le 7, Lynn a été frappé par un ransomware appelé « Herpes 1.2 », qui a infecté le système de paiement de stationnement en ligne de la ville.
C’est également le 7 mai, que le gouvernement municipal de Baltimore a annoncé que le conseil municipal de la ville avait arreté la plupart de ses serveurs en raison d’une attaque de ransomware. Les attaquants ont exigé une rançon de 3 bitcoins pour chaque ordinateur, ou 13 bitcoins pour libérer toute la ville. Les systèmes de la ville ont été hors service pendant près d’un mois entier, et à ce jour, la ville a dépensé 4,6 millions de dollars pour récupérer les données sur tous ses ordinateurs.
La souche de ransomware utilisée s’appelle RobbinHood. Selon Bleeping Computer, le ransomware ne pénètre pas sur les terminaux via le spam; il tire plutôt parti des protocoles de bureau à distance (RDP) ou d’autres chevaux de Troie qui peuvent permettre à l’attaquant d’accéder au réseau. Au cours des derniers mois, il y a eu des preuves que les agresseurs qui ont chiffré les systèmes à Baltimore sont fiers de leur travail: une nouvelle variante de RobbinHood comprend une note de rançon qui suggère à la victime de taper ‘Baltimore’ comme mot clé sur Google pour prendre conscience de la gravité de leur situation.
Malheureusement, ce n’était que le début de «l’été du mécontentement» aux États-Unis. Deux villes de Floride ont été attaquées en une semaine, qui ont toutes deux pris la décision controversée de payer les rançons: 65 bitcoins (plus de 600 000 €) à Rivera Beach et 42 bitcoins (420 000 €) à Lake City.
En juillet, il y a eu des incidents de rançongiciels à Richmond Heights et au Georgia Department of Public Safety.
L’un des incidents les plus frappants est survenu le matin du 16 août: au total, 22 conseils locaux du Texas ont été victimes d’une attaque de ransomware coordonnée. Bien que les autorités texanes n’aient pas révélé quel ransomware a été utilisé dans l’attaque, elles ont annoncé que les 22 attaques provenaient de la même source. Les assaillants ont demandé une rançon de 2,5 millions de dollars.
La vague frappe le reste du monde
Dès l’automne, nous avons commencé à voir des attaques de ransomwares en Europe et dans le reste du monde. À la mi-septembre, plusieurs mairies et institutions en Espagne ont été touchées par des attaques de ransomwares. Au Pays basque, il y a eu au moins quatre rapports de délits de cybersécurité présumés, tandis que le gouvernement régional a annoncé qu’il avait été attaqué par un ransomware appelé Ryuk. Ce crypto-malware a crypté les fichiers stockés sur plus de 50 serveurs, forçant les employés des administrations concernées à effectuer leur travail à la main.
En Allemagne, un important producteur d’outils d’automatisation a été paralysé pendant plus d’une semaine par un incident impliquant le ransomware BitPaymer, tandis que les systèmes de la ville de Johannesburg en Afrique du Sud ont été détournés par des cybercriminels exigeant 4 bitcoins.
Parmi les dernières victimes de ransomwares figurent plusieurs sociétés espagnoles, dont les systèmes ont été chiffrés début novembre. Les analystes du Pandalabs a eu accès à la note de demande de rançon reçue par les entreprises concernées, et ont constaté que ces incidents partagaient de nombreuses caractéristiques avec le ransomware BitPaymer.
PandaLabs explique: «Selon nos enquêtes préliminaires, qui n’ont toujours pas été confirmées, l’une des hypothèses les plus fortes est que les victimes pourraient être des entreprises affectées par certaines des campagnes de spam lancées au cours des semaines précédentes, dont le but est d’infecter les machines avec le malware Emotet. Si tel est le cas, le ransomware aura gardé un profil bas jusqu’à présent, lorsque son C&C lui a envoyé BitPaymer pour commencer l’attaque. »
L’une des victimes les plus récentes est la compagnie pétrolière mexicaine Pemex. Le 11 novembre, plusieurs ordinateurs ont été détournés, empêchant les employés de faire leur travail. Le service informatique a conseillé aux employés de déconnecter leurs ordinateurs.
Les principales causes
Bien que ces séries d’attaques aient coïncidé dans le temps et la forme, dans la pratique, elles ont toutes utilisé une grande varieté de techniques pour accéder aux systèmes de leurs victimes. Les principales causes de ces attaques de rançongiciels sont les suivantes :
-
- Lors de l’incident de Norsk Hydro, les assaillants ont passé des mois sur le système d’information de l’entreprise, à la recherche de vulnérabilités pouvant être utilisées conjointement avec du spam pour pouvoir lancer le ransomware. Et ce n’est pas un cas isolé; en fait, la cause d’une violation de sécurité sur trois est une vulnérabilité non corrigée. L’une des attaques de ransomwares les plus notoires de l’histoire, WannaCry, a exploité une faille de sécurité pour pénétrer sur quelque 300 000 ordinateurs dans le monde.
- 92% des logiciels malveillants dans le monde se répandent par phishing et les ransomwares ne font pas exception. Ils peuvent être masqués dans des pièces jointes avec des macros ou des liens vers des URL malveillantes. L’une des théories sur la façon dont le ransomware a pénétré les entreprises espagnoles en novembre est qu’il est entré via un e-mail de phishing envoyé par le botnet Emotet.
- Attaques de la chaîne d’approvisionnement. Pour mener l’attaque massive perpetrée au Texas, une technique appelée saut d’îlot a été utilisée. Le saut d’îlot implique que des cybercriminels s’infiltrent dans les réseaux de petites entreprises – des sociétés de marketing ou de ressources humaines, par exemple – qui sont normalement des fournisseurs ou prestataires pour la cible finale, et utilisent cet accès pour accéder à de plus grandes organisations. Dans le cas du Texas, le saut d’îlot en îlot était possible car la plupart des municipalités concernées partagaient le même fournisseur de logiciels et de systèmes informatiques.
Souhaitez-vous essayer la seule solution qui n’ait jamais été affectée par une telle attaque?
Un approche Zéro confiance pour lutter contre les ransomwares
Le fait est que les ransomwares sont une menace omniprésente et très difficile à contenir si vous n’avez pas la protection appropriée en place et si vous ne suivez pas les bonnes étapes. La chose la plus importante est de suivre une approche de sécurité zéro (Zero Trust): ne faites confiance à personne tant que vous n’êtes pas sûr qu’il n’est pas malveillant et remettez tout en question.
Panda Adaptive Defense n’est pas basé sur des signatures ou des techniques traditionnelles, mais sur une confiance zéro de toutes les activités sur tous les appareils. Pour ce faire, il surveille de manière proactive absolument toutes les activités sur chaque ordinateur et serveur afin de classer chaque processus sur tous les appareils de l’organisation et de définir leurs profils de comportement. S’il détecte une activité suspecte, même s’il n’a pas de profil apparemment suspect, il le bloque et l’analyse pour prendre une décision sur ce qu’il faut faire. De plus, il dispose d’une technologie anti-exploit capable de détecter les scripts et les macros malveillants.
99,98% des décisions sont prises automatiquement grâce à des processus d’intelligence artificielle basés sur le machine learning et le deep learning. Les 0,02% restants des décisions sont déléguées et mise à l’échelle d’une équipe de chasseurs de menaces experts qui déterminent la nature du processus, enrichissant et perfectionnant les algorithmes automatiques en même temps.
Vous pouvez également réduire davantage la surface d’attaque avec Panda Patch Management. Ce module recherche et applique des correctifs et des mises à jour aux systèmes d’exploitation et à des centaines d’applications tierces afin que les vulnérabilités ne présentent pas de risque d’intrusion.
Nous pouvons vous dire comment fonctionnent ces attaques, quelles vulnérabilités elles exploitent… Nous pouvons également vous dire qu’elles ne seront en aucun cas les dernières. La seule chose que nous ne savons pas, c’est quand la prochaine attaque massive sera lancée.
Préparez-vous et renforcez vos systèmes avec Panda Adaptive Defense. Grâce à son modèle Zero Trust, il est capable d’auditer et de valider 100% des processus avant de pouvoir s’exécuter sur vos ordinateurs. Ces niveaux de visibilité et de contrôle renforcent nos capacités de prévention, de détection et de réponse. C’est pourquoi aucun client de Panda Security n’a été affecté par l’une de ces vagues de ransomwares.