Ramsomware : Bilan de l’année 2020

Une entreprise française est la nouvelle victime du ransomware MountLocker. Après l’entreprise Dassault Falcon Jet en décembre, c’est 160 Gb que les opérateurs ont aspiré. Au passage ils opèrent également sur les entreprises américaines de Faps Inc, dans le New Jersey, et Geotech engineering & Testing, à Humble au Texas. Les opérateurs affichaient les preuves des cyberattaques le 17 mars 2021.

L’expert mondial des spécialités électriques et des matériaux avancés, qui avait fait l’acquisition de la société Fusetech, basée à Kaposvár en Hongrie, cyberattaqué le 15 mars 2021. L’achat pour quatre millions d’euros hors complément de prix futur (Earn out) permet de renforcer l’efficacité industrielle en Europe dans le domaine des fusibles, et d’intégrer la fabrication de certains produits futurs en norme européenne (IEC). Le 11 mars 2021 zonebourse relatait que le groupe accusait une perte de 12 millions d’euros, contre un bénéfice de 57,3 millions en 2019, néanmoins la confiance était de mise sur l’avenir de l’entreprise, quelques jours avant que MountLocker l’épingle à son tableau de chasse.

Les opérateurs indiquent avoir téléchargé l’ensemble des données de l’entreprise internationale Mersen, soit 160 Gb (Crédits : capture d’écran)

L’ancienne compagnie lorraine de charbons est un groupe international d’origine française basé à La Défense. Depuis le début de l’année 2021, elle n’est pas la seule. Pas moins de quarante et une entreprises, collectivités locales, de la boulangerie à l’Hôpital, en passant par les Pompiers :

À lire aussi « Les cyberattaques s’enchaînent en France »

Le rapport 2021 sur les ransomwares de Palo Alto Networks affiche la couleur. Les opérateurs derrière les différents ransomwares demandent des rançons bien plus importantes qu’en 2019. Selon ledit rapport, le montant moyen réglé par les entreprises américaines, canadiennes et européennes affiche une progression de 171 %. Il est passé de 115 123 $ en 2019 à 312 393 $ (261 670 euros) en 2020. Quant à la plus haute rançon payée, de 5 millions à 10 millions de dollars en 2020. Comme la plus haute de mande atteint 30 millions, soit plus de 25 millions d’euros. « Les organisations du monde entier sont prises en otage par des ransomwares, et beaucoup sont contraintes de payer les cybercriminels parce qu’elles ne sont pas équipées pour lutter contre la menace pour diverses raisons, allant du manque de l’absence de sauvegardes récupérables ou le fait que le coût de l’interruption de service est supérieur au coût du paiement de la rançon », souligne John Davis, général de division de l’armée américaine à la retraite et vice-président du secteur public chez Palo Alto Networks.

Nombre d’organisations victimes dans le monde, par famille de ransomware, sur la période entre janvier 2020 et janvier 2021 (Crédits : Unit42)

Confrontée à des perspectives financières plus fragiles tout au long de l’année, ainsi qu’aux défis supplémentaires liés au télétravail, de nombreuses entreprises ont été confrontées à des problèmes de sécurité. Ainsi, la sensibilisation aux cybermenaces et les protections de cybersécurité peuvent être plus difficiles à mettre en œuvre.

C’est pourquoi le modèle de ransomware en tant que service (RaaS), est simple à exécuter, exceptionnellement efficace et potentiellement rentable. Les opérateurs malveillants continuent d’accéder aux environnements des victimes par des méthodes traditionnelles, notamment l’hameçonnage, les identifiants RDP (Remote Desktop Protocol) faibles ou compromis, et l’exploitation des vulnérabilités des applications comme des logiciels.

Les informations diffusées peuvent être personnelles comme des pièces d’identité, CV, comptabilité, identifiant à différents sites… (Crédits : capture d’écran)

De nombreux opérateurs combinent également des logiciels malveillants de base tels que Dridex, Emotet et Trickbot pour l’accès initial. Une fois à l’intérieur d’un réseau, ils usent d’outils natifs tels que PSExec et PowerShell. Mais, à la place du cryptage des fichiers, les opérateurs exfiltrent d’abord les fichiers pour contraindre la victime à payer la rançon. Les fichiers exfiltrés sont ensuite publiés, ou menacés de l’être, sur un site de fuite dont la majorité est hébergée sur le dark web, sites créés et gérés par lesdits opérateurs.

Les opérateurs prouvent leurs dires, et leurs connaissances de l’environnement réseau de la victime,
tout en affichant l’arborescence du site partiel ou complet. (Crédits : capture d’écran)

Les pays les plus touchés de janvier 2020 à 2021 sont les États-Unis (151 attaques), le Canada (39), l’Allemagne (26), le Royaume-Uni (17), la France (16)… Taïwan, la Thaïlande, et les Émirats-Arabe-Unis n’ont subi qu’une seule diffusion. Les ransomwares sont observés sur Microsoft Windows, Apple Mac OS, les systèmes d’exploitation mobile, mais également sous environnement Linux. Si les opérateurs derrière les ransomwares s’attaquent à tous. Damien Bancal, fondateur de ZATAZ, a pu interviewer un opérateur du ransomare MountLocker. « La plupart des entreprises paient la rançon. Parfois, les entreprises affichées paient et nous les supprimons. […] Nous utilisons les trous de sécurité des réseaux de la même manière que les avocats utilisent les trous juridiques. […] Peut-être que certains groupes travaillent avec des gouvernements de manière très privée. Mais le gouvernement a une échelle incomparablement plus grande. Je pense qu’ils ont autre chose à faire que du ransomware », répond l’opérateur.

Une carte du monde avec les principaux pays attaqués sur la période d’une année de janvier 2020 à 2021 (Crédits : Unit42)

« Les formes les plus efficaces de protection contre les ransomwares sont la sécurité des points de terminaison, le filtrage des URL ou la protection du Web, la prévention des menaces avancées (menaces inconnues) et la protection contre les virus », mentionne le rapport de John Davis pour Palo Alto Networks. En France, l’agence nationale de la sécurité des systèmes d’information (ANSSI) bénéficie d’une enveloppe de 136 millions d’euros dans le cadre du plan « France Relance ». Il est plus que nécessaire, car les collectivités, les entreprises sont des cibles de choix, le « Groupe-Upperside » est la dernière victime revendiquée.

Les opérateurs derrière le ransomware Conti News revendiquent l’attaque sur le groupe français Upperside (Crédits : capture d’écran)

En effet l’objectif est d’élever durablement le niveau de cybersécurité de l’État, des collectivités, mais aussi des organisations au service des citoyens (Hôpitaux, SDIS…). « Il est plus que jamais urgent d’agir concrètement et collectivement en matière de sécurité numérique. Le plan France Relance est une belle opportunité pour changer la donne, pour donner une impulsion nouvelle là où c’est nécessaire, pour protéger durablement et au juste niveau ce qui doit l’être. L’État, les collectivités territoriales, les établissements de santé, les organismes au service des citoyens sont autant d’acteurs qui pourront en bénéficier avec l’aide de l’ANSSI » explique Guillaume Poupard, directeur général de l’ANSSI.

Romuald Pena

Journaliste et curieux de nature, j’aime les mots et ce qu’ils chantent aux oreilles qui les entendent. « La vérité, c’est qu’il n’y a pas de vérité », assurait Pablo Neruda. Ainsi j’apporte des faits, des faits, encore et toujours des faits, car : « Nous ne pouvons être condamnés à pire, à juger les autres, à être des juges. » (Le Testament d’Orphée, de Jean Cocteau)

2 réflexions sur “Ramsomware : Bilan de l’année 2020

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *