Profitant de la multiplication des failles de sécurité créées par la généralisation du travail à distance et la transformation numérique forcée des entreprises, les cybercriminels mènent aujourd’hui des attaques de plus en plus fréquentes et sophistiquées, en particulier contre des entreprises d’envergure, menant au paiement de rançons s’élevant à plusieurs centaines de milliers d’euros.

Mais si ces grandes entreprises de renom demeurent l’une des cibles privilégiées des groupes de hackers, l’usage des Ransomwares s’est peu à peu « démocratisé » au point qu’il n’est plus nécessaire d’être équipé d’un vrai
bagage technique pour attaquer une entreprise et lui extorquer des fonds. 

En effet, grâce au modèle des ransomwares « as-a-service » (RaaS) qui se calque sur le modèle « as-a-service », un certain nombre de cartels autoproclamés de cybercriminels, à l’instar de Dharma, ont mis à la disposition de cyberattaquants moins expérimentés des solutions de piratage prêtes à l’emploi.

Ces criminels ont notamment tendance à s’attaquer aux petites et moyennes entreprises (PME), ainsi qu’aux très petites structures (TPE). Toutes les entreprises, quelles que soient leur taille, constituent des cibles potentielles.

Un modèle commercial qui s’inspire des dernières innovations technologiques

Conséquences directes de la pandémie de COVID-19 qui vient de frapper le monde, le développement sans précédent du travail à distance, l’essor du Cloud et l’accélération de la transformation numérique des entreprises font les beaux jours des logiciels et des produits dits « as-a-service » (SaaS et PaaS). Ceux-ci permettent à leurs acquéreurs de disposer de solutions « clé-en-main », développées, voire gérées de bout en bout par des fournisseurs, et qui leur offrent la flexibilité nécessaire pour garantir la croissance et le bon déroulement des activités.

Sur ce même modèle, des groupes de cybercriminels mettent à la disposition d’individus ou de groupes qui ne disposent pas des moyens ou des connaissances techniques suffisantes leurs outils et techniques. Ceux-ci incluent entre autres des moyens de pénétrer dans les systèmes grâce à des spams et des renseignements obtenus sur l’entreprise ciblée, des RaaS prêts à l’emploi, qui s’accompagnent souvent d’une boîte à outils et d’un manuel utilisateur détaillé – voire de tutoriels vidéo –, allant même jusqu’à proposer des méthodes sécurisées de transmission des clés de déchiffrement des données encodées, ainsi que des modes de recouvrement des rançons qui confinent à la légalité. Certains proposent également des sites web ou des plateformes permettant de publier des informations sensibles dérobées lors de l’attaque pour inciter les victimes à payer les rançons.

Ces solutions RaaS, disponibles sur des forums sur le DarkNet et sur Internet, donnent aux apprentis cybercriminels la possibilité d’opérer à une échelle différente de celle des groupes de hackers chevronnés, sans avoir besoin de connaissances techniques approfondies et leur offre la flexibilité suffisante pour lancer des attaques pour un coût relativement modique allant de quelques dizaines à quelques milliers d’euros ou en échange d’une fraction de la rançon collectée.

Les PME et TPE désormais en ligne de mire des nouveaux cybercriminels

Ce nouvel écosystème de cyberattaquants bénéficie pour agir de la multiplication des failles de sécurité et des points d’entrées potentiels au sein des systèmes et des réseaux d’entreprises, auxquels s’ajoutent le manque de formation des collaborateurs en télétravail et l’absence de solutions de cybersécurité adéquates pour lutter contre de telles intrusions.

Tandis que les grandes entreprises s’évertuent à perfectionner leurs architectures de sécurité et à recruter les services de professionnels compétents, les PME et TPE ne disposent souvent pas des ressources humaines et financières suffisantes pour mettre en place un système de protection adapté à cette menace grandissante.

Dès lors qu’un cybercriminel débutant peut se procurer une licence pour utiliser un RaaS prêt à l’emploi et l’implanter dans une vaste quantité de systèmes et réseaux ciblés ou indiscriminés, notamment par le bais de « simples » campagnes de phishing employant des e-mails portant une charge malveillante, nul besoin que la rançon pour le recouvrement ou le déchiffrement des données n’atteigne plusieurs centaines de milliers d’euros. C’est la multiplication des victimes potentielles qui garantit la rentabilité de ces attaques, même si les exigences des attaquants se limitent à quelques milliers, voire quelques centaines d’euros.

Il n’en reste pas moins que ces sommes sont conséquentes pour des entreprises de petite taille. Quant à la perte de données piratées, elle peut avoir des conséquences beaucoup plus graves que pour une grande multinationale qui dispose de moyens suffisants pour assurer la sauvegarde sécurisée de ses données, mettre en place des architectures de pointe ou s’attacher les services de spécialistes et d’experts de la lutte contre les menaces.

Face à la prolifération des menaces et des attaquants potentiels, il est essentiel que PME et TPE prennent conscience qu’elles peuvent être, elles aussi, la cible d’attaques par ransomwares et se tournent vers les solutions et l’expertise offertes par des spécialistes de la cybersécurité afin d’en limiter l’impact sur leur activité.

Par John Shier, Conseiller en Sécurité chez Sophos