REvil : les cybercriminels qui repoussent les limites du rançongiciel
L’attaque informatique qui a débuté vendredi contre un millier d’entreprises marque une nouvelle étape dans la manière d’opérer des cybercriminels spécialisés dans le rançongiciel, ces logiciels qui permettent de prendre un ordinateur en otage. Mais les criminels sont peut-être allés trop loin cette fois-ci.
Ils veulent 70 millions de dollars. Les criminels à l’origine d’unecyberattaque massive en cours depuis trois jours ont rendu publique, lundi 5 juillet, l’une des demandes de rançon les plus élevées de l’histoire de la cybercriminalité.
“Nous avons compromis plus d’un million d’ordinateurs. Si quelqu’un veut négocier l’obtention d’un outil de décryptage universel, notre prix est de 70 millions de dollars, payables en bitcoin”, ont annoncé les pirates informatiques, dans un message posté sur le blog de REvil, le groupe de cybercriminels russes soupçonné d’être à l’origine de l’opération.
Des méthodes jusqu’alors réservées aux cyberespions
Avec cette attaque, REvil surfe sur la vague des rançongiciels, ces virus qui permettent de bloquer l’accès aux fichiers d’un ordinateur jusqu’au versement d’une rançon par les victimes. Un type de cybercriminalité très à la mode ces dernières années, et qui a encore gagné en popularité depuis le début de la pandémie de Covid-19, avec notamment des criminels qui s’en sont pris à des hôpitaux et autres centres de soins.
L’attaque, débutée en fin de semaine dernière, marque cependant “une étape importante dans la manière d’opérer de ces cybercriminels spécialisés dans le rançongiciel”, affirme Gérôme Billois, expert en cybersécurité du cabinet de conseil Wavestone, contacté par France 24.
Pour déployer leur logiciel malveillant, les assaillants ont, pour la première fois, utilisé une technique d’attaque considérée jusqu’à présent comme une spécialité des cyberespions.
REvil s’en est pris à un fournisseur de services informatiques, Kaseya, afin d’attaquer par ricochet tous ses clients. En clair, ces criminels ont compromis cette société qui “fournit des solutions de pilotage informatique, c’est-à-dire qui déploie des correctifs ou des mises à jour à distance pour ses utilisateurs”, rappelle Philippe Rondel, expert en cybersécurité pour la société de sécurité informatique Checkpoint, contacté par France 24.
Tous les clients de Kaseya - comme la chaîne suédoise de supermarchés Coop, une enseigne néerlandaise de pharmacies et des centaines de sociétés en Europe et aux États-Unis - ont téléchargé le virus lors d’une mise à jour d’un logiciel de Kaseya. C’est ce qui a permis ensuite aux cybercriminels de déclencher le rançongiciel sur tous les ordinateurs de ces quelques milliers d’entreprises.
Cette manière de s’attaquer à un grand nombre de victimes en passant par un intermédiaire qui sert de cheval de Troie numérique est particulièrement prisée par les cyberespions “car elle permet d’avancer plus discrètement que si on essaie de s’introduire directement sur les serveurs de ses victimes”, souligne Gérôme Billois.
C’est aussi utile pour installer des taupes virtuelles sur un grand nombre d’ordinateurs en passant par un seul point d’entrée. Le très médiatisé piratage fin 2020 de SolarWind - un fournisseur de logiciels informatiques pour un grand nombre d’administrations américaines - avait servi de porte d’entrée pour les cyberespions sur les serveurs de plus de 15 000 structures fédérales, tels que les départements du Trésor, de la Sécurité nationale ou encore du Commerce et de l’Énergie.
Des cybercriminels toujours plus gourmands
Jusqu’à présent, les cyber-rançonneurs n’avaient pas vu aussi grand que les cyberespions à la solde d’État, ne serait-ce que “parce que cela demande une logistique importante, de l’organisation et un certain savoir-faire pour pouvoir gérer simultanément toutes les cibles”, rappelle Philippe Rondel.
Historiquement, au début des années 2010, les auteurs d’attaques par rançongiciel ont tout d’abord envoyé leur virus un peu au hasard dans la nature. C’étaient les premiers balbutiements de cette cybercriminalité dont les victimes étaient essentiellement des particuliers qui avaient eu le malheur de cliquer sur un e-mail piégé. À l'époque, les rançons réclamées ne dépassaient guère les 300 ou 400 euros.
Ces quatre dernières années, les cybercriminels ont commencé à mieux cibler leurs proies, afin d’attaquer spécifiquement des victimes capables de payer plus pour débloquer leurs systèmes informatiques. Les rançons exigées ont alors pu atteindre des centainesvoire des millions d’euros, comme dans le cas de l’attaque, en juillet 2020, contre l’université d’État de Californie à San Francisco (1,14 million de dollars) ou celle qui a visé, en mai 2021, l’exploitant de gazoducs Colonial Pipeline (4,4 millions de dollars).
L’attaque contre Kaseya marque “une nouvelle étape dans la professionnalisation de ce secteur avec un changement complet d’échelle puisqu’il devient possible de rançonner plus de 1 000 entreprises simultanément”, estime Gérôme Billois. Cette évolution ne surprend pas Philippe Rondel car “ces groupes de hackers évoluent dans le but de pouvoir demander toujours plus d’argent à leurs victimes”.
Mais cette avidité pourrait jouer des tours aux cybercriminels. D’abord, “qui va payer cette rançon ?”, s’interroge Gérôme Billois. Généralement, les cybercriminels font d’abord une petite enquête discrète pour savoir combien leurs victimes pourront rembourser. Dans le cas de l’attaque contre Kaseya, ils ont installé leur logiciel dans des milliers d’entreprises au profil très varié sans savoir précisément avant de lancer l’attaque qui étaient les clients de Kaseya. Autrement dit, ils ne savent pas précisément qui peut payer quoi…
D’où l’idée de proposer une clef universelle de décryptage de 70 millions de dollars contre les demandes de rançon. Mais alors, qui va payer ? Kaseya, car elle est à l’origine de la propagation du virus ? Mais, il n’est pas évident qu’elle acceptera de payer pour tout le monde.
En outre, “à force de faire monter les enchères, ces cybercriminels risquent de se brûler les ailes”, note Gérôme Billois. La décision de s’attaquer simultanément à des milliers d’entreprises risquent de motiver les autorités à déployer les grands moyens pour traquer les coupables. “Tant que ces pirates s’attaquent à une ou deux entreprises, cela reste de la simple criminalité. Mais si, par l’ampleur de leurs opérations, ils menacent l’économie, les autorités peuvent décider que c’est un risque pour la sécurité nationale et les États peuvent alors mobiliser davantage de ressources”, résume Gérôme Billois. De quoi inquiéter les cybercriminels russes ?