La distinction historique entre cybercriminalité et cyber espionnage tend à disparaître. Des groupes alignés avec les intérêts des États adoptent des tactiques criminelles, comme la pratique du rançongiciel. Ainsi, des groupes qui ne se concentraient que sur des campagnes d'espionnage ou des attaques à des fins géopolitiques, tendent à modifier leurs objectifs. Ils visent maintenant à déstabiliser des secteurs stratégiques ou financer des régimes sous sanctions en usant d’arsenal de cyber criminels. Cette évolution a des conséquences majeures pour les directions IT et sécurité : elle augmente le volume d’attaques et modifie la manière dont les organisations doivent aborder la gestion des risques.
Quand des attaques visent à brouiller les pistes
Les attaques de rançongiciels menées par des cybers attaquants sponsorisés par des États ne sont pas nouvelles. En 2017, des opérateurs supposément liés à un gouvernement ont lancé WannaCry, un rançongiciel au retentissement mondial. Cette attaque n’a été stoppée qu’après qu’un chercheur en sécurité a découvert un "kill switch" dans le code malveillant. La même année, le groupe à l'origine de NotPetya a lancé une attaque contre des cibles ukrainiennes. Bien que présenté comme un rançongiciel, il s’agissait en réalité d’un malware destructeur déguisé et destiné à tromper les enquêteurs. Plus récemment, en 2022, un groupe connu sous le nom de Sandworm a utilisé un Rançongiciel dans un but détourné : effacer des données à des fins de sabotage.
Depuis, la frontière entre opérations d’États et cybercriminalité motivée par l’argent continue de s’estomper. De nombreux vendeurs du dark web fournissent des exploits et des logiciels malveillants à des acteurs étatiques. Certains gouvernements recrutent même des cybercriminels indépendants pour mener des opérations ciblées.
Pourquoi les rançongiciels séduisent certains groupes étatiques ?
Cette tendance semble s’accélérer. Plusieurs motivations peuvent expliquer l'utilisation du rançongiciel par des groupes liés à des gouvernements.
Remplir les caisses de l’État
Les pirates affiliés à certains régimes utilisent le rançongiciel pour générer des revenus. C’est souvent le cas pour la Corée du Nord, qui cible des plateformes de cryptomonnaies et des banques à travers des attaques sophistiquées. Entre 2017 et 2023, ces attaques auraient permis d'amasser environ 3 milliards de dollars de profits illicites.
En mai 2024, des chercheurs ont observé une campagne menée contre des organisations du secteur aérospatial et de la défense. Après avoir d'abord volé des informations sensibles, les attaquants ont déployé un rançongiciel personnalisé, baptisé « FakePenny ». Cette approche montre que les motivations des attaquants sont doubles : récolter des renseignements et monétiser leur accès aux réseaux des organisations piratées.
Enrichissement personnel
Certains pirates de groupes gouvernementaux utilisent leurs compétences pour gagner de l’argent à titre individuel. Le groupe Pioneer Kitten a ainsi collaboré avec des groupes de rançongiciel en échange d’une part des paiements de rançons. Il a notamment travaillé avec les groupes NoEscape, RansomHouse et ALPHV (BlackCat). Ils ont non seulement partagé un accès initial aux réseaux, mais aussi verrouillé les systèmes des victimes.
Semer le doute et limiter l’attribution
Les groupes liés aux États utilisent le rançongiciel pour masquer leurs véritables intentions. Le groupe ChamelGang a mené plusieurs campagnes contre des infrastructures critiques en Asie de l’Est, en Inde, aux États-Unis, en Russie, à Taïwan et au Japon. Ils ont utilisé le rançongiciel CatB pour couvrir des opérations d'espionnage, détruisant ainsi les preuves des vols de données.
Comment se défendre face à ces menaces
Même sans connaître précisément l’identité des attaquants, il est possible de réduire l’impact des attaques par rançongiciel . Voici quelques bonnes pratiques :
- Former les employés aux risques d’ingénierie sociale
- Protéger les comptes avec des mots de passe longs et l’authentification multifactorielle
- Segmenter les réseaux pour limiter les mouvements latéraux des attaquants
- Mettre en place une surveillance continue (EDR/XDR/MDR) pour détecter les comportements suspects
- Tester régulièrement les contrôles de sécurité et les processus
- Déployer des outils avancés de gestion des vulnérabilités
- Protéger les actifs avec des solutions de sécurité multicouches
- Investir dans la threat intelligence avec des partenaires de confiance
- Effectuer des sauvegardes régulières
- Élaborer une stratégie de réponse aux incidents
Quels impacts pour les organisations ?
Il est évident que ces attaques hybrides ont des conséquences importantes pour les entreprises. Elles compliquent l’attribution des attaques et augmentent les risques. Les organisations doivent donc renforcer leur approche de la cybersécurité. Mais si les groupes APT utilisent des techniques criminelles, cela peut paradoxalement aider les défenseurs à mieux détecter ces attaques. Les techniques utilisées sont souvent moins sophistiquées que les outils sur mesure utilisés dans les campagnes d’espionnage classiques. Reste que la précocité de la détection et la prise de décision rapide permettent d’endiguer ces formes d’attaques.