9 avril 2021

L’extorsion par Déni de Service redevient monnaie courante

Introduction

Les attaques par Déni de Service (DoS) ne sont pas une nouveauté. Ces attaques informatiques, ayant pour but de rendre indisponible un service ou un serveur, font en effet partie des menaces cyber depuis les années 90. Exploitant les fondements d’Internet, elles ont su évoluer en même temps que celui-ci : de nouveaux protocoles enrichissent régulièrement l’arsenal des vecteurs d’attaques, et la démocratisation de l’Internet des objets dans les années 2010 a permis aux attaques par Déni de Service Distribué (DDoS) d’atteindre des puissances supérieures au térabits par seconde (Tb/s).

Figure 1 : L’évolution des attaques par déni de service sur la dernière décennie (Google)

Si la situation sanitaire liée à la Covid-19 a vu une recrudescence générale des attaques informatiques (et notamment des dénis de service), l’année 2020 signe également le retour des rançons par déni de service (RDoS).

Rançonnage et Déni de Service

Les rançons informatiques « classiques » se font au moyen de rançongiciels, qui bloquent un système informatique (souvent en chiffrant tous les fichiers du système) et demandent aux victimes de payer une certaine somme en échange d’un moyen de retrouver l’accès à leurs données (la clé de déchiffrement).

Il y a quelques mois, les groupes SunCrypt, Ragnar Locker, Avaddon et REvil, spécialisés dans l’extorsion, ont allié rançongiciels et dénis de service pour augmenter la pression exercée sur leurs victimes. Selon la tendance actuelle, vient encore s’ajouter la menace de vente ou de publication des données privées dérobées à la victime, et le cocktail devient explosif. Devant ces attaques dévastatrices, les entreprises sont beaucoup plus enclines à payer les rançons. Mais le recours au déni de service dans un chantage remonte à bien plus longtemps que ça !

En effet, au milieu des années 2010, les groupes de pirates DD4BC, puis Armada Collective, ont profité de l’explosion des botnets et de la nouvelle puissance des dénis de service pour trouver un nouveau moyen d’extorquer de l’argent aux entreprises. Il ne s’agissait pas d’une combinaison avec d’autres types d’attaques : la simple menace d’un déni de service justifiait la rançon.

La rançon par déni de service consiste en une lettre d’extorsion, dans laquelle le pirate menace la victime d’attaquer son système si celle-ci ne règle pas le montant demandé. Cette note détaille souvent l’attaque à venir, incluant notamment sa puissance et la date à laquelle elle va être lancée – l’objectif étant évidemment d’intimider la victime et de la presser à payer.

Le pirate n’ayant pas d’autre moyen de pression que ses menaces, il est courant qu’une première attaque de déni de service relativement faible soit lancée contre la victime, pour donner un avant-goût de l’attaque réelle et prouver l’authenticité de la menace.

Cette première attaque peut avoir lieu avant ou après l’envoi de la note d’extorsion. Dans les deux cas, elle sera mentionnée dans la lettre :

  • Si l’attaque a eu lieu, le pirate la revendique et met en exergue la puissance de la véritable attaque,
  • Si l’attaque est prévue, le pirate met en avant sa maîtrise technique en organisant deux attaques consécutives, et en prédisant les deux impacts distincts qu’elles auront.

Les attaques RDoS, lorsqu’elles sont mises à exécution, sont souvent dévastatrices : elles peuvent atteindre 100+ Gbps et durer de plusieurs heures à plusieurs jours.

Figure 2 : Exemple de lettre d’extorsion (Radware)

Depuis la seconde moitié de 2020, des pirates se faisant passer pour Fancy Bear, Cozy Bear, Armada Collective, ou Lazarus Group, ont lancé des campagnes d’extorsion par déni de service. Ces nouvelles campagnes présentent des différences notables avec les attaques d’extorsion précédentes.

La caractéristique la plus remarquable est l’établissement d’un nouveau record de puissance. En effet, Akamai a enregistré une attaque dépassant 800 Gpbs en février 2021, contre les quelques centaines de Gbps habituels des attaques d’extorsion.

Cette nouvelle puissance indique que les pirates sont déterminés, et tout à fait capables, de s’organiser afin de causer des perturbations importantes. Et ce pour n’importe quels secteurs d’activité, qui sont presque tous impactés par ces campagnes.

De plus, les attaquants ont effectué une reconnaissance approfondie sur les systèmes de leurs victimes. Cela leur a permis de détailler dans leurs lettres les infrastructures les plus profitables à attaquer.

Enfin, la grande nouveauté de ces campagnes est certainement que les pirates sont revenus à la charge, plusieurs fois, contre les mêmes victimes. Les attaques ont augmenté progressivement, et ces campagnes lancées en août ne sont apparemment pas prêtes de s’arrêter.

Conclusion

La rançon par déni de service est à distinguer des rançongiciels, où le pirate propose à la victime de récupérer ses données volées en échange d’une somme d’argent. Dans le cas d’une extorsion par déni de service en revanche, le pirate ne fait que menacer la victime, et lui propose seulement de payer pour ne pas se faire attaquer. Il s’agit donc plus d’un racket que d’un rançonnage…

L’évolution des extorsions par déni de service à laquelle nous assistons depuis l’année dernière, s’inscrit dans la tendance des attaques de déni de service globale, qui continuent à gagner en puissance et à se diversifier.

L’avantage qu’ont les victimes de RDoS par rapport aux rançongiciels, est que l’attaque n’a pas encore eu lieu lorsque les pirates se manifestent. Ainsi même si la puissance du déni de service pourrait submerger l’infrastructure de la victime, celle-ci peut se tourner vers un prestataire et préparer une mitigation efficace.

Rappelons qu’il est universellement recommandé de ne pas céder aux demandes de rançons informatiques, puisque cela apporte aux pirates les moyens financiers d’organiser d’autres attaques similaires.

Et si vous vous demandez comment votre entreprise supporterais une attaque de déni de service, BSSI vous propose d’analyser le comportement de votre infrastructure en situation de stress !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *