Double extorsion, manipulation des cyberattaquants : la nouvelle tendance des ransomwares

Publié le
29 octobre 2024

Le terme « ransomware » ou rançongiciel est aujourd’hui bien connu du grand public. Saviez-vous que le premier ransomware remonte à 1989 ? À l’époque, ils étaient distribués via des disquettes ! Comme souvent, dans le domaine de l’IT, tout comme dans la vie réelle, le voleur a toujours une longueur d’avance sur le gendarme. Il n’est donc pas surprenant que les ransomwares aient évolué et se soient adaptés au fil du temps.

Depuis cette première attaque, les cyberattaquants n’ont cessé d’intensifier leurs actions. Les attaques sont devenues plus fréquentes, mais en plus, elles ont évolué vers la double extorsion, augmentant la pression des victimes et les chances de paiement. Examinons ensemble cette nouvelle pratique et le constat alarmant du paiement répété des rançons.

5f50a7710ef38

Un rançongiciel, qu’est-ce que c’est ?

Pour rappel, un rançongiciel est une attaque malveillante qui prend la forme d’un logiciel malveillant. L’objectif de cette attaque est de prendre en otage vos informations et données, et, réclamer le paiement d’une rançon en échange de l’obtention d’une clé de déchiffrement.

L’évolution vers la double extorsion

La double extorsion est une évolution du ransomware, qui a été popularisée en 2019 par le Groupe Maze, puis, d’autres groupes tels que REvil et Lockbit ont suivis. Aujourd’hui, 80% des ransomwares exploitent le principe de la double extorsion.

On parle de double extorsion quand deux rançons sont réclamées par les cybercriminels. Mais comment réclamer deux rançons à partir d’une même attaque ? En demandant une première rançon pour déchiffrer les données inaccessibles depuis l’action du ransomware, puis une deuxième rançon est réclamée pour ne pas divulguer les données volées. 

Souvent, la première question qui se pose concerne l’intérêt de payer une rançon. Pour inciter les victimes à payer la rançon, les cyberattaquants promettent fréquemment de fournir des outils de déchiffrement, de donner des conseils de sécurité, et encore d’effacer la totalité des données qu’ils ont exfiltrées après le paiement des rançons. Mais ces promesses sont-elles tenues ? Malheureusement que très rarement.

Le paiement de la rançon, une tendance alarmante ?

Selon une étude de Cohesity réalisée auprès de 3 100 DSI dans huit pays, dont la France, 92 % des entreprises cybermenacées ont versé une rançon en 2023. Pourtant, 90% des entreprises interrogées lors de cette étude attestent avoir une politique de non-paiement. Du côté des experts en cybersécurité et de l’ANSSI, le paiement de la rançon n’est pas recommandé. Malheureusement, le constat est que de nombreuses entreprises choisissent de payer, car elles estiment que c’est moins coûteux que d’interrompre leurs activités.

Pierre Veutin, co-dirigeant de Soteria Lab, précise : « Sur le plan éthique, le paiement de la rançon est également contestable, comme la victime place ainsi son budget du côté de l’attaquant plutôt que du côté de la défense, en n’investissant pas dans des ressources humaines, matérielles ou dans des prestations d’audit. D’autant plus que payer, c’est encourager l’attaquant à attaquer de nouveau la même entreprise, puisqu’elle est prête à payer, pourquoi se gêner ? »

Souvent, les entreprises attaquées se sentent démunies sur le plan des sauvegardes de leurs données. Soit parce qu’elles ont négligé ce point, soit parce que les sauvegardes ont été chiffrées prioritairement par le rançongiciel. Dans ce cas, le dirigeant ne voit pas d’autre issue que le paiement de la rançon, même si elles n’ont pas de garantie de les récupérer. À noter que, toujours selon l’étude de Cohesity, seulement 4 % des entreprises interrogées ayant payé la rançon ont récupéré leurs données.

Vers une prise en charge des rançons par les assurances cyber ?

Face à l’intensification des cyberattaques, le contexte législatif s’adapte également, notamment avec l’article 5 de la LOPMI (Loi d’Orientation et de Programmation du Ministère de l’Intérieur) qui a pour objectif d’intensifier la lutte contre la cybercriminalité. Cette loi, entrée en vigueur le 24 avril 2023, impose que le versement de toute indemnisation par une assurance cyber soit conditionné au dépôt d’une plainte par la victime dans les 72 heures suivant la connaissance de l’attaque. Au départ, le projet de loi prévoyait un délai de 48 heures après le paiement de la rançon, mais cette mention a été modifiée pour éviter un encouragement du paiement des rançons.

Si votre entreprise bénéficie d’un contrat d’assurance cyber, il est recommandé d’ajouter dans vos documents de réponse à incident la mention du dépôt de plainte dans les 72 heures.

La vision de Soteria Lab

Les experts Soteria Lab recommandent toujours de ne pas payer la rançon en cas d’attaque. Nous préférons inciter sur l’anticipation qui est indispensable pour mieux se préparer et mieux réagir en cas de cyberattaque.

L’anticipation passe par plusieurs volets :

  • Humain : Sensibilisation des collaborateurs, mise en place de campagnes de phishing, fiches réflexes…
  • Technologique : Indispensable, mais à utiliser correctement. Pare-feu, EDR, outils antispam, scan de vulnérabilités sont essentiels.
  • Processus : Rédiger des procédures pour préparer les opérations à chaque phase, permet une réponse rapide et efficace en cas de ransomware. L’intervention d’un RSSI externalisé peut faciliter la mise en place de ces procédures.

Vous ne savez pas par où commencer votre anticipation ? Le Diagnostic Cybersécurité s’impose comme la solution pour évaluer le niveau de risque de votre système d’information. Ce diagnostic répond à plusieurs objectifs : dresser un état des lieux de votre maturité cybersécurité, situer vos forces et faiblesses et définir un plan d’action priorisé et budgété, véritable feuille de route de votre stratégie cybersécurité.

Pour approfondir le sujet de l’anticipation et de la réaction à la cyberattaque, nous vous préparons un article qui abordera la prévention, qui est fondamentale pour toute entreprise, et que la réalisation d’un Diagnostic Cybersécurité s’est imposée dans l’esprit des dirigeants d’ETI, mais peut-être pas encore accès du côté des TPE et PME.

Etude de cas - Levée de doute suite à une exfiltration de données

Confrontée à une demande de chantage, cette entreprise commerciale a sollicité Soteria Lab alors qu’un tiers a exploité une vulnérabilité sur son site marchand pour télécharger une base de données très sensible. Ce tiers exige une rançon pour ne pas publier sa découverte de vulnérabilité et le fruit de son exploitation. Cette entreprise commerciale n’avait pas de certitude sur la réalité de cette exfiltration de données. Nos consultants ont analysé les journaux d’accès aux services, pour confirmer le mode opératoire de la fraude de l’attaquant et son adresse IP. La vulnérabilité a été corrigée en priorité. Soteria Lab a assisté cette entreprise de la levée de doute à la judiciarisation et la remédiation. Nos experts ont également assisté le client pour protéger son site web marchand par un pare-feu applicatif. Et les données n’ont jamais été publiées.

Vous souhaitez assister à une attaque par ransomware en direct ?

Nicolas Scherrmann, un de nos experts sera présent le 13 novembre dans la matinée à l’Hôtel de Ville de Nancy pour présenter le mécanisme des ransomwares à double extorsion.

L’occasion de découvrir les différentes étapes et le déroulement des étapes d’une cyberattaque, pour ensuite découvrir les moyens de mieux se protéger.

Pour tout savoir sur cette conférence et vous inscrire, c’est ici : Inscription Open du Numérique

N’oubliez pas, une bonne préparation vous sera d’une grande aide en cas de cyberattaque ! Nos experts vous accompagnent à chaque étape pour renforcer votre cyber-résilience. Contactez-nous !

Nos derniers articles