Autrefois menées « en aveugle », les attaques aux ransomwares constituent désormais de véritables ransomOps, c’est-à-dire des opérations ciblées, préparées et structurées par des équipes de cyberattaquants professionnalisées. Face à ces attaques, seule l’Intelligence Artificielle (IA) peut assurer des lignes de défense opérantes.
Les ransomwares constituent aujourd’hui la cyber-menace la plus prolifique et persuasive qui soit. En 2020, le nombre d’organismes publics et de structures privées touchés par ces malwares a augmenté de 255% et l’on s’attend à une nouvelle flambée d’attaques au cours de la période des fêtes de fin d’année.
Derrière les cyberattaquants : des équipes professionnelles
Pourquoi ces attaques prolifèrent-elles avec autant de viralité ? Tout d’abord et avant tout, car les cyberattaquants ont radicalement changé leur façon de faire, sans que les organisations n’en aient tout à fait conscience. Notre vision de ces « chevaux de Troie » demeure encore un peu datée. En effet, s’ils existent depuis plus de dix ans, les ransomwares ont subi ces dernières années d’importantes transformations. Pour l’exprimer simplement, je dirais que la démarche des cyberattaquants s’est à la fois professionnalisée et industrialisée. Notre regard sur ces groupes et leurs « produits » doit évoluer. Il faut désormais considérer le ransomware comme la production d’une organisation très structurée, où la division des tâches est opérante. Derrière les « grands noms » que sont Darkside, Maze, Conti ou Revil se cachent en réalité des équipes spécialisées. Certaines parties prenantes de ces équipes se chargent de l’entrée initiale dans votre système informatique ; d’autres prennent le relais et assurent la propagation au sein du réseau interne ; d’autres enfin lancent et mènent les actions sur l’objectif final : la captation des données de l’entreprise et de ses biens critiques, en vue de l’affaissement de celle-ci.
Parlons de ransomOps et non plus de ransomware
En cette fin d’année 2021, il est ainsi devenu inutile de parler de ransomware pour caractériser les attaques dont les organisations sont les cibles au quotidien : parlons désormais de ransomOps. Les attaques traditionnelles auxquelles nous avons longtemps été habitués répondaient au modèle automatisé du « spray and pray » en vertu duquel les cyberattaquants « arrosaient » le plus largement possible. Les attaques actuelles sont entrées de plain-pied dans l’ère du ciblage et de la sophistication. Ce sont des opérations à part entière, planifiées et menées par étapes par des êtres humains. Ces derniers agissent de manière méthodique, sont en capacité de s’adapter et sont bien moins prévisibles qu’un ransomware automatisé. Ils opèrent des mouvements latéraux, savent demeurer immobiles s’il le faut, pour ensuite accélérer leurs mouvements.
De type APT, les ransomOps qu’ils mènent peuvent être associées aux Etats-Nations comme à des acteurs prioritairement motivés par le gain financier. Qu’importe la cible, pourvu que celle-ci soit contrainte à payer une rançon… Récemment, plusieurs attaques de cette nature ont pu marquer les esprits, à l’image de l’incident de l’US Colonial Pipeline, de l’attaque contre le ministère de la Santé irlandais ou de l’attaque fulgurante menée par Darkside contre le distributeur de produits chimiques Brenntag. A chaque fois, les acteurs analysent leur cible : combien de gains peut-on en extraire ? Dans quelle mesure une cessation d’activité la contraindra à payer une forte rançon ?
Confrontées à ces menaces d’un type nouveau, les organisations n’ont d’autre choix que de se tourner vers l’IA. Seule l’intelligence artificielle permet aujourd’hui d’analyser les dynamiques comportementales qui sont à l’œuvre dans une entreprise. Les outils actuellement développés font appel au Machine Learning et peuvent détecter de manière rapide tout comportement sortant de la norme et confronter les signaux faibles. L’objectif est bien sûr de stopper la ransomOp avant que celle-ci ne devienne critique, paralysant une entreprise ou pire, la mettant en péril.