Lors d’une récente présentation intitulée Ransomware groups negotiation tactics: what you need to know, Kaspersky APAC a expliqué aux participants d’un webinaire à quoi ressemble aujourd’hui l’écosystème des rançongiciels, comment il fonctionne, quelles tactiques sont utilisées et quelles sont les étapes de négociation qui semblent se répéter d’une attaque à l’autre.
Cela dit, la division Asie-Pacifique de cette entreprise mondiale spécialisée en cybersécurité et en protection de la vie privée souligne que chaque groupe de rançongiciels adopte sa propre approche en matière de négociation. « Il faut demeurer au fait des tactiques de négociation employées par les groupes de rançongiciels. Ils ne fonctionnent pas tous de la même manière », affirme Marc Rivero, chercheur principal en sécurité au sein de l’équipe mondiale de recherche et d’analyse de Kaspersky.
Il recommande également avec insistance aux entreprises de réaliser des exercices sur table avant qu’une attaque ne survienne, afin d’être mieux préparées à évaluer la situation et à réagir au besoin. « Les exercices sur table permettront à l’entreprise d’atteindre un plus grand niveau de maturité et de mieux évaluer toute forme de compromission ou d’y répondre efficacement, notamment dans le cas d’une attaque par rançongiciel », dit-il.
L’écosystème des rançongiciels
Outre les groupes de rançongiciels eux-mêmes, Rivero indique que Kaspersky surveille actuellement plusieurs acteurs. Il explique que les affiliés aux rançongiciels, qui occupent différents rôles, travaillent souvent simultanément pour plusieurs groupes. Certains affiliés utilisent des outils communs pour transmettre les données qu’ils parviennent à obtenir vers des serveurs de commande et de contrôle communs. Rivero décrit également le fonctionnement de ces outils, qui recherchent des fichiers Office, PDF et des bases de données avant de les fragmenter afin de les exfiltrer, puis de les reconstituer à destination.
Les équipes de courtiers en accès initiaux (initial access brokers) sont celles qui cherchent à exploiter les vulnérabilités des systèmes d’une entreprise et à les compromettre, avant de vendre cet accès à ceux qui consacreront ensuite le temps nécessaire à compromettre les données, à les voler et à les chiffrer. « Ces équipes de courtiers en accès initiaux sont très spécialisées, très compétentes et maîtrisent parfaitement les techniques d’exploitation », explique-t-il. « Nous constatons qu’elles utilisent autant des vulnérabilités de type zero day que l’ensemble des autres techniques d’exploitation. »
Il ajoute qu’il est extrêmement important pour les entreprises d’examiner et de vérifier leur surface d’attaque afin de corriger toutes les vulnérabilités. « Essentiellement, ils tenteront d’analyser passivement votre infrastructure. Nous pouvons faire la même chose », souligne-t-il.
Tactiques : rançon ou destruction?
Les opérateurs de rançongiciels, pour leur part, ne se précipitent plus nécessairement pour chiffrer les données. Ils travaillent désormais en arrière-plan afin d’en exfiltrer le plus possible avant de prendre contact avec leur victime. « Une nouvelle tendance adoptée par certains groupes consiste à ne plus chiffrer les données, mais uniquement à les voler, parce qu’ils savent que l’entreprise dispose probablement d’une bonne attaquants savent également que les entreprises redoutent les pénalités liées à l’exfiltration de données. « C’est pourquoi ils déploient autant d’efforts pour exfiltrer le plus de données possible. »
Les identifiants compromis constituent également un problème, tout comme l’habitude de réutiliser les mêmes identifiants d’un site Web à l’autre.
Enfin, il indique que les rançongiciels destructeurs, conçus uniquement pour détruire les sources de données, représentent une approche relativement récente. « Essayez de déterminer quels sont les objectifs qui motivent l’attaque dont vous êtes victime », conseille-t-il.
Les négociations
Rivero recommande notamment de faire appel à une personne spécialisée dans les négociations avec les groupes de rançongiciels si ce n’est pas déjà le cas. Bien que chaque négociation soit différente, il explique qu’elles suivent généralement des étapes communes. D’abord, le groupe de rançongiciels s’identifie et établit un moyen de communication.
« Nous trouverons une note sur le bureau ou sur le lecteur C: indiquant : “Vous êtes victime d’un rançongiciel de cette famille. Voici les instructions pour communiquer avec nous” », explique-t-il. L’entreprise ouvre ensuite les communications — une étape qu’il juge importante —, demande des preuves, puis tente de parvenir à une entente.
« Il est important d’ouvrir un canal de communication avec les attaquants. Si vous n’en ouvrez aucun, cela signifie que vous n’êtes pas disposé à discuter avec eux. Ils pourraient alors publier les données sans autre avertissement », dit-il.
Bien que le courriel demeure une méthode de communication utilisée par les attaquants, Rivero affirme qu’aujourd’hui, ceux-ci proposent plus souvent une fonction de clavardage en direct.
« Il est très important que la personne qui ouvre un canal de communication avec ces opérateurs ait le pouvoir de prendre des », affirme-t-il. « La période de négociation est courte. » Il ajoute qu’un négociateur incompétent peut également inciter un groupe de rançongiciels à publier les données en sa possession. « Il est essentiel de prendre cet aspect très au sérieux », dit-il. « Il est aussi important de respecter les règles (établies par les groupes de rançongiciels responsables »
Au cours des négociations, il recommande de vérifier que les interlocuteurs sont bien les auteurs de l’attaque en leur demandant un fichier critique. Rivero précise qu’il vaut mieux choisir un fichier important plutôt qu’un fichier au hasard.
« Il est important de considérer la négociation comme un processus d’affaires, conclut-il. Quelles sont les exigences, jusqu’où pouvons-nous négocier et, surtout, il faut savoir comment négocier. »