Alors que les cybercriminels étaient autrefois présents dans le réseau d’une cible pendant des semaines, voire plusieurs mois, avant de frapper visiblement, ce délai ne dépasse aujourd’hui presque jamais six jours. Cela s’explique par le fait que l’ensemble de l’écosystème derrière la cybercriminalité a radicalement changé.
Aujourd’hui, les attaquants sont présents dans le réseau de leur cible pendant quatre à six jours maximum. C’est ce qu’explique Geert Baudewijns, PDG et fondateur de Secutec, à l’approche de la conférence CyberNova à Anvers. « Il y a à peine deux ans, il s’agissait encore de semaines, mais aujourd’hui, il y a peu de cas où ils restent plus de six jours dans le réseau. »
Évolution rapide
Le modus operandi des cybercriminels a ainsi fortement évolué en très peu de temps. En 2022, il était encore normal que les attaquants aient accès au réseau d’une entreprise pendant environ trois mois, après quoi ils signalaient eux-mêmes leur présence en lançant un rançongiciel. Ils utilisaient ce temps pour cartographier le réseau, se déplacer latéralement, obtenir des accès supplémentaires et exfiltrer des données intéressantes. Ce n’est qu’ensuite que le chiffrement commençait, suivi d’une demande de rançon.
Cela a complètement changé aujourd’hui, constate M. Baudewijns fort de son expertise de négociateur avec les cybercriminels en cas d’extorsion. La cause réside dans un changement fondamental au sein de l’écosystème des attaquants eux-mêmes.
Paysage fragmenté
« Le paysage des rançongiciels se compose de différentes organisations aux rôles spécialisés, qui collaborent toutes », dit-il. « Il y a des pirates professionnels, des programmeurs qui créent des plateformes de rançongiciels, des négociateurs et des criminels qui utilisent tous ces services. »
Il ne s’agit donc pas d’un seul gang qui s’introduit, développe le rançongiciel, vole les données et chiffre les PC : les criminels qui s’introduisent ne sont pas les mêmes que ceux qui conçoivent les outils de rançongiciel. L’accès à un réseau et le rançongiciel en tant que service (RaaS) sont tous deux vendus et achetés par des parties qui les exploitent ensuite.
Moins de loyauté
C’était déjà le cas il y a quelques années, mais la dynamique était différente. À l’époque, les pirates vendaient l’accès à un collectif de rançongiciels avec un coût initial (faible) et la promesse, par exemple, de vingt pour cent des bénéfices si la cible payait. Les attaquants qui vendaient l’accès initial aux réseaux étaient assez fidèles aux gangs de rançongiciels.
« Aujourd’hui, cette loyauté a disparu », observe M. Baudewijns. L’accès initial est souvent vendu plusieurs fois, à différents gangs de rançongiciels. Le profit des vendeurs ne provient plus nécessairement d’un pourcentage de la rançon, mais de la vente d’accès et d’outils. »
Course contre d’autres criminels
Le résultat est que les gangs n’ont généralement plus la garantie d’être les seuls présents dans le réseau de leur cible. Le premier qui chiffre les données peut demander une rançon. C’est pourquoi ils commencent immédiatement l’exfiltration des données, qui est devenue entre-temps l’objectif principal de l’attaque. Après seulement quatre jours environ, la charge utile du rançongiciel est lancée. Attendre plus longtemps comporte pour les gangs le risque qu’un concurrent les devance.
« Une fois que la charge utile est déployée et que la demande de rançon est sur la table, les pirates disparaissent du réseau », sait M. Baudewijns. « Ils ne prendront jamais le risque de rester présents plus longtemps. »
La peur de la concurrence n’est pas le seul facteur de motivation pour agir plus rapidement. Une meilleure détection chez les cibles joue également un rôle. Plus les criminels sont présents longtemps dans le réseau, plus le risque qu’ils soient effectivement découverts est grand.
C’est pourquoi les rançongiciels et le vol de données deviennent plus que jamais un travail à la chaîne. « Les gangs de rançongiciels n’achètent l’accès au réseau d’une victime qu’au moment où ils ont quelqu’un de disponible pour s’en occuper immédiatement », explique M. Baudewijns.
Focus sur les PME
Avec cette nouvelle réalité à l’esprit, le profil des cibles privilégiées a changé. Les plus grandes entreprises du monde ne sont plus les victimes les plus pertinentes pour les gangs. Elles disposent de réseaux complexes et segmentés avec une sécurité plus avancée.
M. Baudewijns : « Les entreprises de dix à 500 postes avec une topologie de réseau plate sont dans la zone idéale. » En d’autres termes, ce sont les PME qui sont principalement visées aujourd’hui.
Tout cela change la manière dont les organisations doivent se protéger. Les attaquants ne visent pas d’entreprises spécifiques, mais achètent des accès là où ils peuvent en obtenir. Réduire la visibilité sur Internet et s’assurer de ne pas être une cible facile est le principal moyen de protection. Les meilleures pratiques restent d’actualité : une bonne hygiène, l’authentification à deux facteurs et surtout un correctif rapide sont autant d’étapes dans la bonne direction.