Sécurité des entreprises
La frontière floue entre la cybercriminalité et les attaques parrainées par des États souligne la nature de plus en plus fluide et multiforme des cybermenaces actuelles.
07 janvier 2025
•
,
5 minutes. lire
Il fut un temps où la frontière entre la cybercriminalité et les menaces étatiques était plutôt facile à discerner. Les cybercriminels étaient motivés uniquement par la recherche du profit. Et leurs homologues du gouvernement ont mené principalement des campagnes de cyberespionnage, auxquelles s’ajoutent occasionnellement des attaques destructrices, pour promouvoir les objectifs géopolitiques de leurs employeurs. Cependant, ces derniers mois, cette ligne a commencé à se dissoudre, y compris en ce qui concerne les ransomwares, une tendance également notée par le dernier rapport sur les menaces d’ESET.
Cela a des implications potentiellement majeures pour les responsables informatiques et de la sécurité : non seulement en augmentant le risque d’attaque, mais également en modifiant le calcul autour de la manière d’atténuer ce risque.
Lignes floues dans le cyberespace
On pourrait affirmer que les attaques de ransomware lancées par des pirates informatiques parrainés par l’État n’ont en réalité rien de nouveau. En 2017, des agents affiliés à la Corée du Nord auraient lancé WannaCry (alias WannaCryptor), le tout premier ver ransomware mondial. Il n’a été interrompu qu’après qu’un chercheur en sécurité soit tombé sur un « kill switch » caché dans le code malveillant et l’ait activé. La même année, des pirates informatiques parrainés par l’État ont lancé la campagne NotPetya contre des cibles ukrainiennes, même si dans ce cas il s’agissait en réalité d’un malware destructeur déguisé en ransomware afin de dérouter les enquêteurs. En 2022, ESET a observé le groupe russe Sandworm utiliser un ransomware de la même manière : comme effaceur de données.
Depuis lors, la frontière entre les opérations soutenues par l’État et la criminalité à motivation financière s’est estompée. Comme nous l’avons également noté il y a quelque temps, de nombreux fournisseurs du dark web vendent des exploits et des logiciels malveillants à des acteurs étatiques, tandis que certains gouvernements engagent des pirates informatiques indépendants pour les aider dans certaines opérations.
Que se passe-t-il aujourd’hui ?
Ces tendances semblent toutefois s’accélérer. Plus précisément, dans un passé récent, ESET et d’autres ont observé plusieurs motivations apparentes :
Des ransomwares pour remplir les caisses de l’État
Les pirates informatiques du gouvernement utilisent délibérément les ransomwares comme outil permettant de gagner de l’argent pour l’État. Cela est particulièrement évident en Corée du Nord, où les groupes menaçants ciblent également les sociétés et les banques de crypto-monnaie avec des méga-braquages sophistiqués. En fait, on estime qu’ils ont réalisé environ 3 milliards de dollars de bénéfices illicites grâce à cette activité entre 2017 et 2023.
En mai 2024, Microsoft a observé Moonstone Sleet, aligné sur Pyongyang, déployer un ransomware personnalisé baptisé « FakePenny » sur les prochains travaux de plusieurs organisations aérospatiales et de défense, après avoir d’abord volé des informations sensibles. “Ce comportement suggère que l’acteur avait des objectifs à la fois de collecte de renseignements et de monétisation de son accès”, a-t-il déclaré.
Le groupe nord-coréen Andariel est également soupçonné d’avoir fourni un accès initial et/ou des services d’affiliation au groupe de ransomwares connu sous le nom de Play. En effet, le ransomware Play a été repéré dans un réseau précédemment compromis par Andariel.
Gagner de l’argent à côté
Une autre raison pour laquelle l’État s’implique dans les attaques de ransomwares est de permettre aux pirates informatiques du gouvernement de gagner de l’argent grâce au travail au noir. Un exemple est le groupe iranien Pioneer Kitten (alias Fox Kitten, UNC757 et Parisite) qui a été repéré par le FBI « collaborant directement avec des filiales de ransomwares pour permettre des opérations de cryptage en échange d’un pourcentage du paiement de la rançon ».
Il a travaillé en étroite collaboration avec NoEscape, Ransomhouse et ALPHV (alias BlackCat) – non seulement en fournissant un accès initial, mais en aidant également à verrouiller les réseaux de victimes et à collaborer sur les moyens d’extorquer les victimes.
Détourner les enquêteurs
Les groupes APT liés à l’État utilisent également des ransomwares pour dissimuler la véritable intention des attaques. C’est ce que ChamelGang (alias CamoFei), aligné sur la Chine, aurait fait dans le cadre de multiples campagnes ciblant des organisations d’infrastructures critiques en Asie de l’Est et en Inde, ainsi qu’aux États-Unis, en Russie, à Taiwan et au Japon. Utiliser le ransomware CatB de cette manière fournit non seulement une couverture pour ces opérations de cyberespionnage, mais permet également aux agents de détruire les preuves de leur vol de données.
L’attribution est-elle importante ?
Il est évident que les groupes soutenus par le gouvernement utilisent des ransomwares. À tout le moins, cela leur fournit une couverture utile de déni plausible qui peut dérouter les enquêteurs. Et dans de nombreux cas, cela se fait tout en augmentant les revenus de l’État et en contribuant à motiver les pirates informatiques employés par le gouvernement, qui ne sont souvent rien de plus que des fonctionnaires mal payés. La grande question est de savoir si le fait de savoir qui attaque est vraiment important ? Après tout, Microsoft a même découvert des preuves selon lesquelles des agences gouvernementales externalisaient le travail en gros – même si dans le cas de Storm-2049 (UAC-0184 et Aqua Blizzard, aucun ransomware n’était impliqué.
Il y a ici deux écoles de pensée. D’une part, les conseils en matière de bonnes pratiques en matière de sécurité doivent rester valables – et constituer un moyen efficace de renforcer la résilience et d’accélérer la réponse aux incidents – quel que soit l’auteur de l’attaque. En fait, si les groupes APT alignés sur l’État finissent par utiliser des tactiques, techniques et procédures (TTP) de cybercriminalité, cela pourrait même profiter aux défenseurs des réseaux, dans la mesure où ils seront probablement plus faciles à détecter et à se défendre que des outils personnalisés sophistiqués.
Cependant, il existe également un argument selon lequel comprendre son adversaire est la première étape essentielle pour gérer la menace qu’il représente. Ceci est expliqué dans le rapport de recherche 2023, Profilage des cyberattaquants pour une analyse des risques basée sur l’apprentissage automatique : « L’un des éléments essentiels de l’analyse des risques liés à la cybersécurité est la définition d’un modèle d’attaquant. Le modèle d’attaquant spécifié, ou profil d’attaquant, affecte les résultats de l’analyse des risques et favorise la sélection des mesures de sécurité pour le système d’information.
Riposter
Cela dit, si vous ne connaissez pas l’identité de votre adversaire, il existe encore des moyens d’atténuer l’impact de ses attaques de ransomware. Voici 10 étapes de bonnes pratiques :
- Lutter contre l’ingénierie sociale grâce à des programmes de formation et de sensibilisation à la sécurité mis à jour
- Assurez-vous que les comptes sont protégés avec des mots de passe longs, forts et uniques et une authentification multifacteur (MFA)
- Réseaux de segments pour réduire la « zone d’explosion » des attaques et les mouvements latéraux limités
- Déployez une surveillance continue (détection et réponse des points de terminaison ou détection et réponse gérées) pour identifier les comportements suspects dès le début.
- Tester régulièrement l’efficacité des contrôles, des politiques et des processus de sécurité pour favoriser une amélioration continue
- Déployer des outils avancés de gestion des vulnérabilités et des correctifs
Assurez-vous que tous les actifs sensibles sont protégés par un logiciel de sécurité multicouche provenant d’un fournisseur réputé, y compris pour les ordinateurs de bureau, les serveurs et les ordinateurs portables/appareils mobiles.
- Investissez dans les renseignements sur les menaces provenant d’un partenaire de confiance
- Effectuer des sauvegardes régulières conformément aux meilleures pratiques
- Concevoir une stratégie efficace de réponse aux incidents et pratiquer périodiquement
Selon une estimation, le crime organisé représentait 60 % des violations de données l’année dernière, contre seulement 5 % attribués aux États-nations. Mais cette dernière part est en augmentation, et les violations elles-mêmes pourraient avoir un impact considérable sur votre organisation. Une sensibilisation continue et une gestion proactive des risques sont essentielles.