AccueilActualités informatiqueVague massive de cyberattaques contre les autorités, les boutiques en ligne &...

Vague massive de cyberattaques contre les autorités, les boutiques en ligne & Co.

Si vous suivez l’actualité, deux thèmes en particulier reviennent régulièrement : la Corona et les cyber-extorsions. Parfois même les deux en combinaison, comme dans le cas de la tache grise sur la carte de Corona de l’Institut Robert Koch. Alors que la quatrième vague avait déjà frappé de plein fouet un peu partout, le district de Ludwigslust-Parchim, au sud-ouest du Mecklembourg-Poméranie occidentale, faisait figure d’îlot de bonheur avec zéro nouvelle infection.

Le district n’a pas pu déclarer au RKI les infections qui existaient bel et bien en raison d’une attaque de pirates informatiques sur le prestataire de services informatiques communal KSM/SI. L’interface SORMAS, utilisée pour la gestion des cas et le suivi des contacts en cas de crise de coronarographie, a notamment été touchée.

Ce cas n’est qu’un des nombreux cas actuels dans lesquels des cyber-extorqueurs ont semé le chaos, la tache grise sur la carte n’étant qu’un dommage collatéral. Outre les autorités et les administrations, les hôpitaux ainsi que les petits et grands groupes comme Ceconomy AG, dont font partie les quelque 1000 magasins des chaînes MediaMarkt et Saturn, sont régulièrement touchés. A l’approche des fêtes de fin d’année, un cyber-chanteur avait lâché un cryptotrojan. Il aurait touché plus de 3000 serveurs du géant de la distribution, qui aurait alors demandé à ses employés de débrancher les caisses et de ne pas utiliser les ordinateurs.

Sommaire

Dans de tels cas, les personnes concernées n’ont généralement pas d’autre choix que de débrancher les prises. La PME Kisters AG d’Aix-la-Chapelle n’était même plus joignable par téléphone sur son numéro fixe après une cyber-attaque dans la nuit du 10 au 11 novembre. Ce cas est particulièrement explosif, car l’entreprise est active dans le domaine de l’infrastructure critique, elle fournit des logiciels au secteur de l’énergie – les producteurs d’énergie, les exploitants de réseaux, les exploitants de points de mesure et ainsi de suite doivent donc pouvoir compter sur le bon fonctionnement des programmes Kisters.

L’entreprise a déclaré que « selon les analyses médico-légales effectuées jusqu’à présent, il n’y a pas de raison de douter de l’efficacité du système ». […] rien n’indique que les produits logiciels livrés aient été compromis ». De la chance dans la malchance.

Près de deux semaines après la cyber-attaque, la société Aachner Kisters AG était encore en train de traiter l’affaire et de rétablir le fonctionnement normal.

En règle générale, les cybergangs s’introduisent dans l’infrastructure par le maillon le plus faible de la chaîne et se propagent ensuite sur le réseau. Il s’agit surtout d’employés non préparés qui sont mis sur la paille par des e-mails d’hameçonnage bien faits. Mais les pirates ont également dans leur ligne de mire les accès à distance via RDP ou VPN qui ne sont pas protégés par une authentification à deux facteurs. Enfin, les services présentant des failles de sécurité connues mais non encore corrigées sont une porte d’entrée appréciée.

L’intrusion initiale dans le réseau est suivie d’une phase de repérage de la victime, au cours de laquelle les pirates continuent de progresser dans le réseau. Ensuite, les intrus copient et cryptent tout ce qui est cher à leurs victimes, et en particulier ce qui leur est cher, avant d’exiger une rançon aussi élevée que possible en crypto-monnaie.

La liste des piratages pourrait s’allonger à l’infini. De nombreux incidents ne font pas de vagues, par exemple parce que l’entreprise parvient à garder le silence le plus longtemps possible. Cela se passe alors bien jusqu’à ce que les maîtres chanteurs mettent les données aspirées sur le Darknet pour augmenter la pression.

Les gangs de cybercriminels se développent continuellement, sont bien connectés entre eux et se spécialisent de plus en plus. Il en résulte un réseau de bandes criminelles qui se complètent mutuellement. Un nouveau secteur d’activité vient de s’établir : les « Initial Access Brokers » (IAB) vendent des accès aux réseaux d’entreprises. C’était autrefois une spécialité du célèbre gang Emotet. Mais après le démantèlement complet de leur infrastructure par Europol en janvier, une série d’autres gangs se sont engouffrés dans la brèche qui s’est ouverte sur le marché.

Entre-temps, il existe un commerce florissant d’accès à des victimes lucratives, en partie semi-public via des forums ou des marchés clandestins, mais aussi directement par le biais de relations personnelles. Le prix dépend de la qualité de l’accès – les droits d’administrateur de domaine, qui permettent d’avoir la mainmise sur le réseau, représentent une forte majoration de prix. Le chantage proprement dit, c’est-à-dire le vol de données et leur cryptage, est ensuite pris en charge par les acheteurs.

L’émergence du ransomware-as-a-service (RaaS) a multiplié le nombre de groupes actifs, dont beaucoup n’ont pas l’expertise nécessaire pour mener à bien une intrusion. Ces affiliés se contentent alors de travailler sur des listes préétablies, qui décrivent par exemple étape par étape comment trouver les serveurs de sauvegarde ou comment diffuser le ransomware sur le réseau. Ils achètent auprès de l’IAB de confiance des accès à des cibles lucratives et procèdent ensuite au chantage proprement dit. Le blanchiment de la rançon est à nouveau assuré par le fournisseur de RaaS, qui verse ensuite sa part à l’affilié.

Même si l’on a l’impression qu’aucun système ne peut résister à long terme aux agissements des cybergangs professionnels, il serait illusoire de jeter l’éponge parce qu’une attaque réussie semble inévitable. Il est possible qu’un attaquant disposant d’un budget illimité puisse tôt ou tard surmonter tous les obstacles. Néanmoins, l’objectif doit toujours être de maximiser l’effort de l’attaquant.

En outre, il faut également faire pression sur les criminels. Pendant longtemps, il semblait qu’ils pouvaient encaisser des millions sans avoir à craindre de conséquences.

Les autorités d’enquête sont toutefois loin d’être inactives, comme le montre l’important coup de filet contre le célèbre gang Emotet. Des succès isolés comme celui-ci n’apportent cependant pas grand-chose dans un premier temps – ils ne font que donner à d’autres l’occasion d’occuper le poste devenu vacant. Toutefois, la pression sur le milieu de la cybercriminalité augmente manifestement. Elle a déjà entraîné le retrait de deux des principaux gangs de RaaS : DarkSide et REvil ont dominé l’actualité en 2021, notamment avec leurs attaques contre l’important opérateur de pipelines Colonial et le logiciel d’administration Kaseya VSA. La vague d’attaques Kaseya de REvil, en particulier, a eu des conséquences importantes. Jusqu’à 1500 entreprises ont été victimes de chantage.

Mais en se retirant, les auteurs n’ont pas pu échapper aux poursuites judiciaires : Comme l’a annoncé Europol, un réseau international d’enquêteurs vient de réussir à arrêter deux suspects issus de l’environnement de REvil et qui seraient responsables de 5000 infections. Ce succès est dû à l’opération GoldDust, à laquelle ont participé des enquêteurs de 17 pays ainsi qu’Europol, Eurojust et Interpol. Cela donne une idée de l’ampleur des efforts déployés pour mettre la main sur les cybergangs.

Début octobre, un Ukrainien recherché par les États-Unis dans le cadre d’un mandat d’arrêt international a été intercepté à la frontière polonaise. Il est soupçonné d’avoir participé à la vague d’attaques Kaseya. Les succès remportés contre de tels fournisseurs de ransomware-as-a-service de haut niveau sont très précieux, car ces gangs fournissent l’infrastructure et le savoir-faire. En fin de compte, il n’y a que quelques poignées de gangs de RaaS actifs de haut niveau. Après REvil et DarkSide, le gang derrière le ransomware Conti serait le prochain acteur majeur.

Récompense contre rançon : Le gouvernement américain a lancé un appel d’offres de 10 millions de dollars pour des informations permettant d’identifier des personnages clés du gang REvil.

Au total, Europol fait état de sept arrestations à ce jour dans le contexte de REvil et de son prédécesseur présumé, le gang GandCrab. Le Département d’Etat américain a entre-temps offert une prime de 10 millions de dollars pour toute information permettant d’identifier d’autres personnages clés de l’affaire REvil – un moyen qui a toujours fait ses preuves pour mettre les voyous en prison.

La lutte contre la cybercriminalité n’est pas aussi désespérée qu’elle l’a longtemps semblé. Le crime organisé n’a pas de super-pouvoirs magiques et n’est pas non plus invulnérable. Il est désormais important que la communauté internationale augmente encore la pression sur les acteurs de la cybercriminalité. Mais cela ne signifie pas que les entreprises et l’administration doivent relâcher leur vigilance. Ce n’est que si les efforts se poursuivent aux deux niveaux – c’est-à-dire si les entreprises se protègent mieux et si les maîtres chanteurs doivent craindre des conséquences réelles – que l’on pourra mettre fin à la marche triomphale de la cybercriminalité.

heise Security Pro

Des parties de cette analyse proviennent de la lettre d’information hebdomadaire pour heise Security Pro, dans laquelle le Senior Security Fellow Jürgen Schmidt présente régulièrement des informations de fond sur le thème de la cybercriminalité.

c’t édition 26/2021

Dans c’t 26/2021, nous montrons comment passer de Windows 10 à 11 en quelques clics de souris – et comment surmonter des obstacles plus importants, par exemple si votre PC ne répond pas aux exigences du hardware. En outre, nous avons réuni sur six doubles pages des conseils cadeaux triés sur le volet par la rédaction de c’t et testé des bots d’aspiration intelligents avec reconnaissance d’objets. Vous trouverez le numéro 26/2021 à partir du 3 décembre dans la boutique et dans les kiosques à journaux bien achalandés.

Plus d'articles