Une société de sécurité a passé à la loupe les demandes d’achat sur le Darknet. Objectif : déterminer les critères de sélection des cybercriminels. Comment choisissent-ils les entreprises dont ils souhaitent chiffrer les données afin d’exiger une rançon ?
La société de renseignement de sécurité Kela a examiné un total de 48 messages publiés sur des forums en juillet 2021. Ces recherches, publiées par divers acteurs du ransomware, s’adressaient à des courtiers d’accès initial (IAB, pour Initial Access Broker). Ces hackers sont spécialisés exclusivement dans la pénétration initiale des réseaux d’entreprise. Parmi leurs méthodes de prédilection : les attaques par force brute, les exploits et le phishing. Ils vendent ensuite les données d’accès aux cybercriminels les plus offrants qui les utilisent à leur tour pour injecter leur code malveillant dans les systèmes des entreprises victimes.
40 % des « annonces » publiées sur les forums du Darknet et examinées par Kela provenaient de l’environnement d’organisations criminelles de ransomware connus. Dans un cas, le gang d’extorsion qui agit sous le nom de « BlackMatter » cherchait des cibles spécifiquement aux États-Unis, au Canada, en Australie et au Royaume-Uni, avec un chiffre d’affaires annuel d’au moins 100 millions de dollars et entre 500 et 15 000 hôtes. Pour obtenir les données d’accès, ils paieraient de 3000 à 100 000 dollars chacune.
L’Europe est aussi une cible de « choix » des attaques par ransomware
À partir d’une vingtaine d’annonces examinées, Kela a identifié différents critères retenus par les cybercriminels pour sélectionner les victimes d’attaque ransomware. Voici quelques conclusions auxquelles ils sont parvenus :
- L’emplacement géographique joue un rôle : les cybercriminels spécialisés dans le ransomware privilégient les victimes situées aux États-Unis, au Canada, en Australie et en Europe. Dans la plupart des recherches, la région souhaitée était explicitement mentionnée. Les pays les plus souvent demandés étaient les États-Unis (47 %), suivis du Canada et de l’Australie (37 % chacun) et des pays européens (31 %). Dans la plupart des cas, plusieurs pays figuraient dans leur « wish list ». Selon Kela, il y a une explication à ces préférences géographiques. Pour les escrocs du net, les victimes les plus fortunées se situeraient dans les pays les plus grands et les plus développés.
- L’importance du chiffre d’affaires est déterminant : En moyenne, les maîtres chanteurs cherchaient des entreprises réalisant un chiffre d’affaires annuel d’au moins 100 millions de dollars américains. Avec, cependant, une distinction en fonction du pays cible. Dans un cas précis, les entreprises américaines réalisant au moins 5 millions de dollars de CA, ainsi que les entreprises européennes réalisant 20 millions de dollars de CA ou les entreprises de « pays du tiers monde » réalisant au moins 40 millions de dollars de CA étaient recherchées.
- Des secteurs restent épargnés : avant même les attaques contre Colonial Pipeline et le producteur de viande JBS, la plupart des cyber-escrocs du ransomware se tenaient par exemple à l’écart du secteur de la santé. Par la suite, ils sont devenus plus prudents et sélectifs à l’égard des autres secteurs. 47 % des annonces examinées par Kela excluaient expressément le secteur de la santé et de l’éducation (47 % chacun), 37 % laissaient délibérément de côté le secteur public et 26 % les organisations à but non lucratif. Selon Kela, le secteur de la santé et les organisations à but non lucratif seraient principalement épargnés pour des raisons d’ordre moral. Concernant l’éducation, les cybercriminels estimeraient que les victimes ne pourraient pas payer de rançons très élevées…
- Certains pays sont sur liste noire : la plupart des auteurs d’attaque de ransomware s’abstiennent de viser les pays de la Communauté des États indépendants (CEI), pensant probablement que les autorités de ces pays les laisseront tranquilles en retour. Outre la Russie, cela concerne notamment l’Ukraine, la Moldavie, le Belarus, le Kirghizstan, le Kazakhstan, l’Arménie, le Tadjikistan, le Turkménistan et l’Ouzbékistan.
Protection contre le ransomware : quelques conseils
Dans ce contexte, même les entreprises qui n’ont pas le « profil type » ne devraient pas se sentir en sécurité pour autant. Selon Kela, certains gangs adeptes du ransomware, tels que Dharma, STOP et Globe, sont nettement moins sélectifs. Aucune entreprise ne devrait baisser la garde. Il reste plus que jamais indispensable de se protéger aussi efficacement que possible contre toutes sortes de cybermenaces.
Pour se prémunir contre une attaque ransomware, il convient inévitablement d’opter pour une protection anti-phishing des boîtes de messagerie, telle que celle de la plateforme modulaire Secure Email Platform de Retarus, notamment en complément des logiciels de bureautique cloud tels que Microsoft 365 ou Google Workspace. Pour sensibiliser vos utilisateurs à ce sujet délicat, téléchargez gratuitement notre guide anti-phishing disponible en cinq langues. Vous trouverez toutes les informations sur notre site Web ou directement auprès de votre interlocuteur Retarus.