Ces dernières semaines, un groupe de cybercriminalité a extorqué diverses organisations dans le monde entier en menaçant de lancer des attaques par déni de service distribué (DDoS) contre elles, à moins qu'elles ne paient des milliers de dollars en Bitcoin.

Les attaquants ont ciblé des organisations opérant dans divers secteurs, notamment la finance, les voyages et le commerce électronique. Cependant, ils ne semblent pas viser une région spécifique, car des lettres de rançon ont été envoyées à des organisations résidant au Royaume-Uni, aux États-Unis et dans la région Asie-Pacifique.

Selon ZDNet, le groupe est également à l'origine d'une série d'attaques contre MoneyGram, YesBank, Braintree, Venmo et, plus récemment, contre la bourse néo-zélandaise, qui a été contrainte d'interrompre ses opérations pendant trois jours consécutifs.

La demande de rançon révèle des actifs spécifiques de l'entreprise victime qui seront visés par une "attaque test" pour démontrer la gravité de la menace. Akamai, qui a suivi les attaques, a enregistré certaines des attaques DDoS atteignant presque 200 Go par seconde, alors qu'auparavant une attaque visant un de ses clients était limitée à « seulement » 50 Go par seconde.

Dans le cadre de leur tactique d'intimidation, les cybercriminels prennent l'apparence de groupes de piratage notoires, à savoir Sednit, également connu sous le nom de Fancy Bear, et Armada Collective. Les activités du premier groupe ont fait l'objet de recherches approfondies de la part d'ESET.

Les extorqueurs contactent leurs victimes par e-mail, les menaçant d'une attaque DDoS imminente, à moins qu'elles ne paient la rançon exigée en Bitcoin dans un délai déterminé. Les frais varient en fonction du groupe dont ils se font passer pour eux et vont de 5 BTC (environ 57 000 dollars US) à 20 BTC (227 000 dollars US), les prix augmentant si la date limite n'est pas respectée.

Les agresseurs intensifient encore leurs tactiques d'intimidation en décrivant les conséquences possibles : « ...vos sites web et autres services connectés ne seront pas accessibles à tous. Veuillez également noter que cela portera gravement atteinte à votre réputation auprès de vos clients. [...] Nous détruirons complètement votre réputation et nous nous assurerons que vos services resteront hors ligne jusqu'à ce que vous payez. (sic) », selon un exemple de demande de rançon publié par Akamai (traduction littérale).

LECTURE COMPLÉMENTAIRES : Lukas Stefanko : Comment nous avons lutté contre une attaque DDoS d’un botnet mobile

En effet, l'atteinte à la réputation combinée à des temps d'arrêt pourrait coûter aux entreprises visées des millions de dollars en perte de revenus. Cependant, même si les organisations ciblées envisageaient de payer la rançon, rien ne garantit que les chapeaux noirs cesseraient leurs attaques ; un jour de paie rapide pourrait même les inciter à cibler d'autres entreprises également.

Les attaques DDoS, y compris celles accompagnées d'extorsion, existent depuis des années, et Jake Moore, spécialiste de la sécurité d’ESET, note que les organisations ne doivent pas sous-estimer la menace.

Il explique : « Les groupes criminels continueront à faire des ravages en dirigeant d'énormes volumes de trafic vers un site web, soit pour envoyer un message, soit pour tester les défenses du site en prévision de nouvelles attaques. Il est clair que nous ne devons jamais prendre cette menace à la légère et que nous devons commencer à nous protéger dès maintenant contre des bombes DDoS encore plus puissantes ».