Cybersécurité – Les groupes cybercriminels
01 juillet 2023Un acteur de plus en plus présent dans le cyberespace est les groupes de cybercriminels. Les opérations de ces entités sont multiples : autant ils peuvent héberger et gérer des plateformes de trafic de tout genre, mais également conduire des cyberattaques dans le but de siphonner les victimes. Au cours des dernières années, les attaques de type rançongiciel se sont multipliées à travers le globe, aidées par la poussée du télétravail et de l’augmentation des activités en ligne.
Les rançongiciels sont des logiciels malveillants dont le but est de voler et chiffrer les données de serveurs informatiques d’une compagnie et ainsi les rendre inutilisables. Le rançongiciel est habituellement envoyé via un courriel ou un message texte et dès qu’un utilisateur clique sur le lien envoyé, le logiciel s’installe. Par la suite, le but est d’infecter le plus grand nombre d’ordinateurs sur le réseau. Puis, les données sont exfiltrées vers un serveur qui est contrôlé par le groupe cybercriminel et le cryptage des machines de la victime est effectué. Finalement, un message mentionnant qu’un rançongiciel est installé avec un moyen de contacter les cybercriminels ainsi qu’une adresse d’un portefeuille de cryptomonnaie est affiché à l’écran.
Une rançon est ainsi demandée pour récupérer les données. De plus, une deuxième rançon peut être demandée pour ne pas vendre les informations volées sur les plateformes de cybercriminels et même une troisième rançon pour éviter que les cybercriminels ébruitent l’affaire auprès des partenaires de l’entreprise attaquée. Bref, ces groupes trouvent toujours de nouvelles façons de siphonner leurs victimes. De plus, une victime pourrait payer la ou les rançon(s), mais il n’y a aucune garantie qu’elle va retrouver ces données.
Certains groupes cybercriminels développent leur propre rançongiciel alors que d’autres paient une licence pour utiliser des rançongiciels. Un autre modèle d’affaires pour un groupe cybercriminel, louer leur rançongiciel au groupe moyennant un pourcentage sur les rançons obtenues ; ou bien, un modèle similaire à plusieurs logiciels légitimes soit une version gratuite offrant des fonctionnalités minimales et des versions payantes qui incluent toutes les fonctionnalités et une assistance technique 24/7.
Habituellement, les rançongiciels sont spécifiques à des secteurs d’activités c’est-à-dire le secteur bancaire, de l’énergie, etc. En effet, les entreprises d’un même secteur utilisent souvent les mêmes technologies, donc les failles de logiciels qui permettent au rançongiciel de se déployer et de crypter les données sont similaires.
Il faut comprendre que ces groupes criminalisés sont dans une logique de maximisation des profits donc prioriseront les cibles facilement atteignables — les low hanging fruits. Des applications mises à jour, des copies de sauvegarde, des mots de passe forts, une authentification à deux facteurs sont autant de moyens de parer une cyberattaque. Dans la logique de profit, il y a peu de temps à perdre sur une cible plutôt difficile à infiltrer, le nombre de cibles potentielles qui ont peu de mécanismes de défense en place est plutôt nombreux.
En addition, plusieurs groupes opèrent dans des pays où ils ont l’appui tacite des gouvernements. Par exemple, pour les cybercriminels russes, tant qu’ils n’attaquent pas des cibles situées en Russie, il y a peu de chance qu’ils soient inquiétés par les autorités.
Pour conclure, les rançongiciels sont malheureusement en croissance et il n’y a pas de solution magique pour endiguer le flot d’attaques de ce type. Des systèmes mis à jour et la vigilance des potentielles victimes sont les premiers remparts contre ce genre d’extorsion qui peut faire des ravages au sein d’une entreprise.
Par Simon Benoît
Consultant en cybersécurité