Navixia SecurityWatch - Spécial ransomware - Mai 2021

Veille technologique / Tools

Le business model du ransomware mis à nu

La récente attaque qui a bloqué pendant 6 jours l'oléoduc stratégique Colonial Pipeline a mis en lumière le fonctionnement actuel, hyper professionnel, de l'industrie du ransomware et il vaut la peine de s'y arrêter. 

A l'origine de l'attaque: l'organisation DarkSide, spécialisée dans le "ransomware-as-a-service", développe et commercialise une plateforme permettant à ses clients de mener à bien leurs attaques. Le modèle d'affaire le plus courant (double extorsion), demande deux rançons aux victimes : l'une pour obtenir une clé de déchiffrement de leur données locales, l'autre pour garantir que la copie des données volée par DarkSide sera détruite. Si la victime ne paie pas, elle est ainsi doublement pénalisée: elle perd non seulement ses données mais aussi sa réputation car ses clients sont informés de l'attaque. 

DarkSide affiche une stratégie commerciale agressive. Elle se présente comme un partenaire fiable à la réputation sûre et propose (entre autres) à ses clients hackers un service après-vente complet, une helpline destinée à guider les victimes dans le processus de paiement, un service téléphonique pour leur mettre la pression, un rapport documentant la faille utilisée pour l'attaque, et même un service d'info d'initiés, destiné aux traders qui voudraient spéculer sur les actions des victimes cotées en bourse... Rien n'est laissé au hasard. En savoir plus sur cette structure passionnante ici.

En réaction au tollé qui a suivi l'attaque, DarkSide a commencé par émettre un communiqué rassurant: l'organisation, apolitique, attaquait "pour le profit uniquement" et épargnait les infrastructures utiles à la collectivité. Pour éviter une répétition de l'affaire Colonial, DarkSide promettait de désormais valider au préalable les cibles visées par ses clients. Mais peu après cette annonce, l'organisation a annoncé sa fermeture, ayant "perdu l'accès à ses serveurs et à ses ressources financières". Réelle attaque de représailles ou mise en retrait stratégique? Mystère. Dans tous les cas, DarkSide avait gagné une visibilité assez peu compatible avec ses activités commerciales. 

Veille technologique / Tools

Cyberassurances et ransomware: début de la fin?

L'assureur AXA France a annoncé récemment que sa cyberassurance ne prendrait plus en charge les rançons des victimes de ransomware, alors que c'était pourtant jusque-là un argument de vente important. Le motif? Les autorités françaises découragent cette pratique car les paiements ont un effet incitatif sur les pirates, qui multiplient leurs attaques. Lire ici    

S'agit-il d'un premier pas vers un durcissement? Peut-être. Mais quelques jours après cette annonce, AXA était frappée... par un ransomware. Cette attaque était-elle déjà connue lorsqu'AXA a annoncé sa décision? Ou alors les hackers cherchent-ils à intimider les assurances qui envisageraient de suivre son exemple? Une chose est sûre: les attaques de ransomware sont comparativement faciles à mettre en oeuvre. Aussi longtemps qu'elles resteront lucratives, les organisations criminelles s'accrocheront à ce filon.

Veille technologique / Tools

Comment se protéger des ransomware

Il y a trois axes de protection. 

1. Les précautions essentielles d'abord: anti-virus et applications à jour, filtrage internet et, surtout, sauvegarde régulière des données, qu'il faut conserver séparément du réseau, à un endroit où elles ne peuvent pas être contaminées en cas d'attaque. Consulter les recommandations du CISA ici.
2. Une bonne formation des utilisateurs renforce aussi considérablement la résistance de l'entreprise. Notre plate-forme de sensibilisation DiagnoPhish vous aide par exemple à y parvenir grâce à des vidéos, des simulations de phishing et des quiz. 
3. Enfin, et c'est inattendu : il apparaît que le gouvernement russe ferme les yeux sur la cybercriminalité, pour autant qu'aucune entité nationale ne porte plainte. Pour s'épargner des ennuis inutiles, les hackers évitent donc d'infecter les victimes russophones et la plupart des ransomware ne s'installent tout simplement pas sur les machines équipées d'un clavier virtuel russe, ukrainien ou assimilé. Vous savez donc ce qui vous reste à faire... Lire l'intéressant article de Brian Krebs.

Et si malheureusement une attaque se concrétisait, que faudrait-il faire? Voici les conseil du NSCS (ex-MELANI) .

Sites d'intérêt

Outils et infos

• Retrouvez toutes les infos sur le ransomware sur la page dédiée de l'agence américaine CISA.
• Vous prévoyez d'acheter une oeuvre digitale via l'un de ces fameux NFT (Non Fungible Tokens) dont on parle tant? Lisez d'abord ceci!
• Il fallait y penser. Cet article passionnant fait le parallèle entre le code ARN du vaccin contre le COVID et un code informatique.
• Connaissez-vous les Playbooks? Microsoft y fournit des instructions détaillées pour réagir rapidement aux incidents et cyberattaques.

Sites d'intérêt

Un peu de détente dans ce monde de brutes

• Straight To Spam: générateur de code à copier/coller dans un e-mail pour le faire bloquer par les filtres anti-spam.
• Peut-on pousser la sécurité physique trop loin? La réflexion est ouverte...
• A quoi ressembleraient les cyberattaques (dont le ransomware) dans le monde réel? Une compagnie d'assurances britannique se sert d'un magasin de vélos pour l'illustrer.