Rançongiciels : l’ANSSI dresse un inquiétant état des lieux et des menaces à venir

Les attaques par rançongiciels sont en augmentation et se « professionnalisent » pour l'ANSSI. Les conséquences peuvent être catastrophiques, aussi bien financièrement qu’humainement. L'Agence dresse un vaste état des lieux de cette menace, précisant au passage être intervenue sur 69 incidents majeurs en France.

Commençons par une définition, donnée par l'ANSSI, qui sera utile pour la suite : « un rançongiciel est un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent ». 

• Télécharger l’état des lieux de la menace rançongiciel par l’ANSSI
• Terrorisme, escroqueries, vie privée... L’État dresse le bilan des cybermenaces en France

Big Game Hunting, Ransomware-As-A-Service, sous-traitant…

Il en existe des centaines de variantes, avec même principe : le chiffrement des données, les rendant illisible à l'utilisateur. Ce dernier doit alors payer une rançon en espérant que cela lui permettra d'obtenir une clé de déchiffrement. Un type d'attaque qui a le vent en poupe, car elles peuvent rapporter gros aux pirates.

« Alors que les montants de rançons habituels s’élèvent à quelques centaines ou milliers de dollars, celles demandées lors des attaques "Big Game Hunting" [très sophistiquées, parfois au niveau de ce que peut produire un service d’espionnage étatique] sont à la mesure de la cible et peuvent atteindre des dizaines de millions de dollars », explique l’ANSSI.

À la fin de son rapport (page 18 à 26), l’Agence revient en détail sur une dizaine de rançongiciels de cas de « Big Game Hunting » : SamSam, BitPaymer, Ryuk, LockerGoga, Dharma, GandCrab, Sodinokibi, MegaCortex, RobinHood, Maze et Clop.

Certains d’entre eux, comme GandCrab, Sodinokibi, Dharma et Maze, sont considérés comme des « Ransomware-As-A-Service », car ils sont proposés par des pirates à d’autres pirates via un système d’affiliation. Un système bien rôdé : « Il permet aux attaquants de sous-traiter une grande partie des actions pour mener à bien leurs opérations d’extorsion et d’y acheter les ressources nécessaires (données personnelles, accès légitimes compromis, codes malveillants) ».

... un écosystème très lucratif

L’attaque Cryptolocker aurait rapporté 3 millions de dollars en 2013, contre 6 et 7 millions pour SamSam et Ryuk. On passe à 150 millions de dollars avec GrandCrab grâce à son modèle de Ransomware-As-A-Service permettant de « louer » le rançongiciel contre un pourcentage des gains, et enfin entre 18 et 320 millions de dollars pour Cryptowall. 

Au total, cet écosystème générerait « deux milliards de dollars de bénéfices annuels », à mettre en perspective avec les 1 500 milliards de dollars en 2018 pour l’ensemble des activités cybercriminelles. 

De l‘autre côté, les coûts sont limités et, pour une attaque de type « Big Game Hunting », ne dépasseraient pas en moyenne « les dizaines de milliers de dollars sur l’ensemble de la période d’activité » selon l’ANSSI. « Dans tous les cas, il est très peu probable que le coût pour l’attaquant approche ses revenus potentiels », ajoute-t-elle. 

Des attaques coûteuses… même si vous avez des sauvegardes

Les rançongiciels peuvent avoir des conséquences fâcheuses pour les cibles, pas uniquement pécuniaires : « la ville de Baltimore a vu ses réseaux paralysés par une attaque de ce type et a évalué le préjudice financier à 18 millions de dollars, dont dix pour la remise en état du parc informatique ». Les pirates réclamaient 100 000 dollars et 10 000 de plus par jour de retard après le délai imparti. La ville n’a pas payé, mais elle a mis plus d’un mois à rétablir l’ensemble de ses services.

En mars 2019, une entreprise norvégienne spécialisée dans l’industrie de l’aluminium (Norsk Hydro) a été infectée par LockerGoga. Elle a dû stopper une grande partie de sa production et continuer en manuel pendant un temps. Elle possédait des sauvegardes et a donc décidé de ne pas payer la rançon.

Mais « la baisse de productivité due à l’attaque aura coûté environ 40 millions de dollars à l’entreprise ». Le rapport explique même que « des sociétés se sont développées autour de ce paiement des rançons en proposant des services de négociation avec les attaquants ». Ce qui revient à se poser l'une des questions majeures : Faut-il payer ?

Pour les professionnels, « les assurances incitent les victimes à payer la rançon qui s’avère souvent moins élevée que le coût d’un rétablissement de l’activité sans le recours à la clé de déchiffrement. Pour autant cette couverture n’empêche pas les victimes d’être attaquées de nouveau. Cette incitation à payer valide le modèle économique des cybercriminels et les amène déjà à augmenter les rançons et à multiplier leurs attaques ».

Rappelons tout de même que payer n’est pas la garantie de récupérer ses données. Cela devrait inciter chacun à revoir ses procédures de sécurité, de sauvegarde et ses plans de continuité/reprise d'activité. L'idéal est toujours de disposer de copies de vos fichiers, dans des lieux, sur des supports différents... et même hors-ligne pour éviter la contamination.

Faire pression sur la justice

Si l’argent est le principal moteur de cette activité fortement lucrative, « il est tout à fait envisageable que des groupes cybercriminels (ou le crime organisé en général) s’appuient un jour sur ce moyen pour faire pression sur la justice ».

De premiers cas sont survenus avec des attaques contre certains départements de police américains et les laboratoires d’analyses Eurofins Scientific. Ces derniers effectuent la moitié des analyses forensiques de la police anglaise et ont décidé de payer la rançon pour continuer leurs activités.

Les attaques se professionnalisent

Pendant un temps, les attaquants ciblaient très larges avec des attaques de types « Fire and Forget » ou « Spray and Pray ». Pour faire simple : on arrose tous azimuts et on regarde ensuite ou ça mord à l’hameçon. On pourrait comparer cela à de la pêche à la grenade en aveugle en espérant attraper un gros poisson « par chance ».

Ces dernières années, cela s'est largement affiné « afin de s’assurer de la présence de ressources importantes sur les machines compromises et de la capacité financière de leurs cibles à payer des rançons de plus en plus élevées ». Les pirates utilisent notamment des listes d’adresses en vente sur les marchés noirs.

Pour appuyer ses dires, l’ANSSI reprend une étude de Symantec mettant en avant « une baisse générale de 20% des infections par rançongiciel, mais une hausse de 12% à l’encontre des entreprises ». Depuis fin 2019, certains attaquants opèrent en deux temps en commençant par « exfiltrer de grandes quantités de données présentes sur le système d’information compromis avant d’action de chiffrements. Ils se servent ensuite de la divulgation de ces données afin d’exercer une pression supplémentaire sur les victimes afin de les inciter à payer la rançon ».

Un exemple avec la compagnie américaine Southwire qui a été attaquée via le rançongiciel Maze, et qui est restée silencieuse face aux pirates. Ces derniers ont alors publié des documents sur un site Internet pour les faire réagir. « Southwire a alors intenté une action en justice contre les opérateurs de Maze pour avoir publié des données personnelles tombant sous la réglementation RGPD et le site a été fermé ».

En réponse, les pirates ont publié un peu moins de 2 Go de données sur un forum d’attaquants russophones.

En 2019, l’ANSSI est intervenue 69 fois en France

Pour l’ANSSI, le rançongiciel est « la menace informatique la plus sérieuse pour les entreprises et institutions par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité ». L’Agence nationale de la sécurité des systèmes d'information annonce avoir traité « 69 incidents en 2019 sur son périmètre », soit plus d’un par semaine, avec une forte augmentation sur les derniers mois de l’année.

Parmi les compromissions les plus importantes, l’Agence met en avant ses interventions chez Altran en janvier 2019, Fleury Michon en avril 2019, Ramsay Générale de Santé en août 2019 et le CHU de Rouen en Novembre 2019. Dans le détail, 18 attaques concernent le domaine de la santé et 14 les collectivités territoriales ; soit quasiment 50 % des attaques à eux deux.

Dommage par contre que l’ANSSI ne parle pas des pirates arrêtés ou des groupes démantelés suite aux enquêtes menées.

Retour sur WannaCry

Le cas de WannaCry est encore dans toutes les têtes et montre les conséquences explosives de la combinaison d’un rançongiciel et d’un moyen de propagation automatique. L’ANSSI en profite pour rappeler que « l’impact de WannaCry aurait pu être fortement limité par une meilleure politique de mise à jour logicielle des entreprises dans le monde ».

En une seule journée, « au moins 200 000 machines dans plus de 150 pays » ont été infectées, avec des conséquences sur de nombreux secteurs. En France par exemple, « Renault a arrêté par mesure de précaution plusieurs sites de production », tandis qu’au Royaume-Uni le National Health Service était touché et des services d’urgence arrêtés.

« À la connaissance de l’ANSSI, il n’existe pas d’autre cas d’attaque à but lucratif de ce type ». Elle rappelle que WannaCry se basait sur le code EternalBlue, « supposément développé par la NSA et divulgué en source ouverte deux mois plus tôt ». Il s’est répandu comme une traînée de poudre, car les mises à jour n’avaient pas été faites. Il a pu être stoppé grâce à la présence d’un Kill switch permettant notamment aux concepteurs d’éviter d’être infectés.

Tout le monde est concerné

L’ANSSI rappelle – au cas où certains penseraient encore pouvoir passer entre les mailles du filet – que « toute entreprise, institution ou particulier ayant un accès à Internet peut être infecté par un rançongiciel s’il n’a pas mis en œuvre des mesures de sécurité informatique basique (sauvegardes à froid, sensibilisation à l’hameçonnage, mise à jour logicielle sur ses machines connectées, antivirus) ».

Sur les attaques de type Big Game Hunting, les entreprises américaines sont de très très loin la cible principale des pirates. La Turquie, le Royaume-Uni, l’Australie et le Canada arrivent ensuite. On retrouve donc quatre des « Five Eyes » dans le top 5. La Chine est 10e et la France n’est pas présente dans ce classement.

Mais l’ANSSI met en garde sur un biais important à prendre en considération, notamment pour la Chine et les pays non anglo-saxons : « Les chiffres présentés par Symantec sont largement influencés par le positionnement de ses solutions de détection. Le marché de cet éditeur étant majoritairement américain et anglo-saxon, il est normal de voir apparaître les États-Unis comme principale cible ». Malgré tout, ces statistiques représentent de manière générale « une réalité ».

Un avenir peu réjouissant…

L’ANSSI propose une vision d’avenir qui a de quoi inquiéter : « L’augmentation du nombre d’attaques par rançongiciel pourra également amener à la répétition des infections, les victimes voyant tout ou partie de leur réseau paralysé régulièrement, qu’ils aient payé ou non les extorsions précédentes ».

Pour se prémunir, il n‘y a pas 36 000 solutions : prudence, mise en garde et éducation des employées qui sont souvent un vecteur d’attaque, mise à jour des systèmes et des sauvegardes, vérification de son plan de reprise d’activité en cas de crash (notamment la durée), etc.

Les attaques ne se contentent plus d’un rançongiciel, elles combinent souvent plusieurs vecteurs, notamment des trojans bancaires et des mineurs de cryptomonnaie. Ils accentuent la pression sur les victimes et assurent des bénéfices supplémentaires aux attaquants. 

Enfin, « la frontière entre l’utilisation d’un code de chiffrement et un code de sabotage est ténue », explique l'Agence. « NotPetya et GermanWiper sont deux exemples de codes se faisant passer pour des rançongiciels, mais ayant uniquement une finalité de sabotage ». À l’avenir, il est d'ailleurs possible que « des puissances étrangères utilisent des rançongiciels dans une logique déstabilisatrice » note l'ANSSI.