34,044 Views

Les attaques par ransomware se sont multipliées ces dernières années, les estimations du secteur faisant état d'une multiplication par quatre des paiements effectués aux cybercriminels en 2020 et 2021 par rapport à 2019.  

Ces attaques ont eu un impact significatif sur la société, causant des perturbations et des dommages importants aux gouvernements, aux institutions publiques, aux entreprises et aux citoyens. Dans certains cas, les attaques par ransomware ont même eu un impact sur les systèmes de santé et ont menacé la sécurité nationale en arrêtant des infrastructures et des services critiques ou en compromettant des données sensibles.  

La fréquence et la gravité des attaques de ransomware ne cessant d'augmenter, il est essentiel de comprendre leurs effets sur la société et les moyens de les prévenir et de les atténuer. 

Face à la menace croissante des attaques par ransomware, le Groupe d'action financière sur le blanchiment de capitauxFATF a publié un rapport intitulé rapport "Countering the Financing of Ransomware" (Lutter contre le financement des ransomwares) qui fournit des conseils aux pays pour prévenir et détecter le blanchiment des produits de ces attaques. En outre, il a publié des indicateurs de risques potentiels à l'intention des institutions financières et d'autres entreprises pour les aider à identifier et à signaler les activités suspectes liées aux paiements par ransomware.

 Qu'est-ce qu'un rançongiciel ? 

 Le ransomware est un type d'extorsion où les attaquants utilisent un type de logiciel malveillant (malware) que les criminels utilisent pour interdire l'accès aux données, aux systèmes ou aux réseaux tout en exigeant le paiement d'une rançon en échange. Les attaquants emploient généralement diverses méthodes pour refuser l'accès aux données, telles que le cryptage des données, l'exfiltration des données, etc.  

Ce qui distingue les ransomwares des autres types de logiciels malveillants, c'est la menace de publier les données de la victime si la demande de rançon n'est pas satisfaite. Les attaques par ransomware peuvent donc entraîner des perturbations importantes, des pertes et même une atteinte à la réputation des entreprises, des institutions et des particuliers. 

Techniques de ransomware 

Les techniques de ransomware ont considérablement évolué ces dernières années, les criminels utilisant des méthodes sophistiquées pour accéder aux systèmes de leurs victimes. 

Ces techniques impliquent souvent 

  • Chasse au gros gibier: Cette technique consiste à cibler des organisations de grande taille et de grande valeur, souvent très médiatisées, dont les coûts d'indisponibilité sont plus élevés, y compris les infrastructures critiques. Ces organisations sont supposées avoir une probabilité plus élevée de payer les rançons. Les auteurs d'attaques par ransomware ciblent fréquemment les secteurs de l'énergie, de la banque, de la communication et de l'éducation, mais ils s'attaquent également aux entités du gouvernement/du secteur public, aux soins de santé et aux biens industriels.
  • RAAS: Il s'agit d'un modèle commercial dans lequel les auteurs de ransomware fournissent des services de ransomware sur le Dark Web ou externalisent des éléments des attaques, tels que la distribution de logiciels malveillants, la compromission initiale du réseau d'une victime, le vol d'informations d'identification et d'autres services, en échange d'une rémunération.
  • Double extorsion: Cette technique consiste pour un attaquant à exfiltrer les données d'une victime avant de les crypter et de menacer de publier les données volées si la rançon n'est pas payée.
  • Triple extorsion: Cette technique consiste pour un pirate à demander une rançon non seulement à l'entreprise victime, mais aussi à la victime dont les données ont été divulguées. Il peut s'agir d'informations de santé protégées, d'informations personnelles identifiables, d'identifiants de compte et de propriété intellectuelle.
  • Extorsion multiple: Cette pratique implique plus de deux méthodes d'extorsion. Il peut s'agir d'une double extorsion utilisant le cryptage, mais aussi de moyens de pression supplémentaires tels que le déni de service distribué (DDoS), la prise de contact avec les clients des victimes, la vente à découvert des actions des victimes et la perturbation des systèmes d'infrastructure.

Les attaques par ransomware peuvent avoir de graves conséquences et constituer des menaces importantes pour la sécurité nationale, notamment en endommageant et en perturbant les infrastructures et les services essentiels. 

Pays présentant un risque plus élevé de blanchiment des attaques par ransomware 

Les attaques de ransomware sont un problème mondialmais certains pays risquent davantage d'être ciblés par ces acteurs malveillants pour blanchir le produit de leurs crimes.

Ces pays sont les suivants 

  • Pays connus pour leur financement ou leur soutien aux activités terroristes 
  • Pays connus pour leurs niveaux élevés de criminalité organisée, de corruption, de drogue, de trafic d'êtres humains et de jeux d'argent illégaux
  • Pays faisant l'objet de sanctions, d'embargos ou de mesures similaires 
  • Pays dont la gouvernance, l'application de la loi et les régimes réglementaires sont faibles, en particulier les VASP 

Répartition géographique des attaques de ransomware 

La distribution des attaques de ransomware fait référence à la répartition géographique de ces types d'attaques. La sensibilité à ces attaques varie d'une région à l'autre en raison de la diversité des mesures de sécurité et de l'infrastructure numérique. Selon le FATF, l'Amérique du Nord semble être la région la plus touchée par les attaques de ransomware, tandis que le Moyen-Orient et l l'Afrique les plus faibles.

Attaques de ransomware par zone géographique

Méthodes de blanchiment du produit des attaques par ransomware 

Les auteurs de ransomwares exigent souvent des paiements en actifs virtuelsce qui rend difficile la traçabilité des produits illicites. Les criminels emploient toute une série de techniques pour blanchir les actifs virtuels qu'ils reçoivent en paiement d'attaques par ransomware. Ces méthodes visent à dissimuler l'origine et le mouvement des fonds illicites, ce qui complique la tâche des autorités chargées de l'application de la loi qui doivent les suivre et les saisir :

  • Peer-to-peer (P2P) : La victime peut envoyer des actifs virtuels à l'opérateur du ransomware directement à l'aide de sa clé privée et de sa connexion internet, sans passer par une institution réglementée. Par conséquent, les parties à la transaction n'ont pas besoin de passer par des procédures de KYC .
  • Différentes adresses de portefeuilles : Les auteurs de ransomwares exigent souvent des paiements dans différentes adresses de portefeuilles qu'ils contrôlent pour recevoir les recettes illicites de chaque attaque.
  • Utilisation d'adresses intermédiaires : Une fois les fonds reçus, les attaquants peuvent utiliser plusieurs adresses intermédiaires pour déplacer les actifs virtuels en transférant de petits montants vers de nouvelles adresses hébergées par des prestataires de services virtuels réglementés (chaînes de peel).
  • Utilisation de mélangeurs et de gobelets : Ces services dissimulent la connexion entre l'adresse d'envoi du bien virtuel et l'adresse de réception.
  • Monnaies de confidentialité : Bien que la plupart des attaquants de ransomware demandent à être payés en bitcoins, dans certains cas, ils demandent à être payés en privacy coins (crypto-monnaies renforçant l'anonymat). Ces pièces obscurcissent les portefeuilles d'envoi et de réception.
  • Sauts de chaîne: Les auteurs de ransomwares déplacent souvent des actifs virtuels d'une blockchain à une autre, en succession rapide, afin d'échapper au suivi des mouvements. Dans certains cas, ils utilisent les protocoles DeFi pour effectuer des sauts de chaîne vers des stablecoins avant de convertir les fonds en monnaie fiduciaire.
  • Les VASP dans les juridictions à haut risque: Souvent, les attaquants envoient les actifs virtuels à un VASP situé dans des juridictions où les contrôles CTF sont faibles ou inexistants, afin d'effectuer la conversion en monnaie fiduciaire.
  • Mules en argent: Souvent, les criminels ouvrent des comptes en utilisant une identité volée ou fausse, ou utilisent des comptes détenus par des tiers recrutés à cette fin. Ces comptes sont utilisés pour transférer des fonds en dissimulant la source des actifs virtuels.

Pratiques proposées par le FATF en ce qui concerne les attaques par ransomware 

Pour lutter efficacement contre la menace croissante des attaques par ransomware, le FATF a proposé aux pays d'adopter diverses pratiques. Ces mesures visent à améliorer la détection, la prévention et la poursuite des attaques par ransomware et le blanchiment de leurs produits en exigeant des pays qu'ils.. : 

  • Criminaliser le ransomware en tant qu'infraction principale 
  • Accélérer la réglementation des fournisseurs de services d'actifs virtuels (VASP) en matière de AML et veiller à ce qu'ils se conforment à la règle des voyages et à la déclaration des transactions suspectes. La mise en œuvre limitée de la règle sur les voyages par les fournisseurs de services d'actifs virtuels permet aux cybercriminels d'éviter d'être détectés et d'entraver les enquêtes, car les services répressifs s'appuient sur ces informations pour identifier les parties impliquées dans une transaction. 
  • Améliorer la détection en fournissant des conseils aux entités réglementées pour détecter les ransomwares et les transactions suspectes en partageant les tendances, les guides et les indicateurs d'alerte, mais aussi en encourageant les victimes à signaler les incidents liés aux ransomwares. 
  • Veiller à ce que les services répressifs enquêtent sur les produits du crime, les localisent et les confisquent. 
  • Mettre en place des mécanismes de soutien à la coopération entre les secteurs public et privé 
  • Améliorer la coopération internationale 

Méthodes de détection des attaques de ransomware 

Souvent, les autorités compétentes utilisent les sources d'information suivantes pour recueillir des informations sur les attaques de ransomware. 

  • Institutions réglementées telles que les banques et les VASP (à partir des déclarations de transactions suspectes) 
  • Secteurs non réglementés (c'est-à-dire les institutions impliquées dans les ransomwares et la cybercriminalité)  
  • Sociétés d'intervention en cas d'incident (c'est-à-dire sociétés d'intervention en cas d'incident de criminalistique numérique et cabinets d'avocats) 

Société d'intervention en cas d'incident

Indicateurs de risques potentiels pour la détection des ransomwares  

Pour lutter contre la menace croissante des attaques de ransomware et de leur financement, le FATF a développé des indicateurs de risque pour aider les pays à détecter les attaques de ransomware. Ces indicateurs de risque fournis par le FATF sont basés sur des comportements et des transactions spécifiques qui peuvent indiquer une activité de ransomware, et peuvent être utilisés par institutions financièresIls peuvent être utilisés par les institutions financières, les régulateurs et les forces de l'ordre pour identifier et enquêter sur les activités suspectes.

Indicateurs pour les institutions financières et les systèmes de paiement  

  • Effectuer des virements à des spécialistes de la remédiation des ransomwares dans les secteurs du conseil en cybersécurité et de l'intervention en cas d'incident. 
  • Virements bancaires provenant de sociétés d'assurance spécialisées dans le nettoyage de ransomware et arrivant à l'improviste   
  • Incidents et paiements liés aux ransomwares signalés par les clients   
  • Un ransomware pour les clients s'attaque aux données open-source   
  • Nombre important de retraits et de dépôts auprès d'un PSVA à l'aide du même compte bancaire   
  • Des mots tels que "rançon" ou les noms de familles de ransomware connues apparaissent dans la description du paiement.   
  • Fonds versés aux PSVA dans les pays présentant un risque élevé de corruption  
  • Utiliser les VASP pour retrouver les victimes de ransomware qui ont payé :  
  • La demande d'un tiers pour qu'une entreprise de réponse aux incidents ou d'assurance achète des actifs virtuels.   
  • Le client informe le prestataire de services virtuels qu'il doit payer la rançon pour acheter des biens virtuels.   
  • Un utilisateur n'ayant jamais envoyé ou reçu d'actifs virtuels envoie de l'argent en dehors du protocole normal.   
  • Un client relève la limite de son compte et transmet les fonds supplémentaires à une autre partie.   
  • Le client semble inquiet ou agité par le retard dans la réception de l'argent.   
  • Paiements effectués à des prestataires de services virtuels dans des zones à haut risque ; Achats ou transferts de crypto-monnaies qui augmentent l'anonymat des utilisateurs.   
  • Lorsqu'un nouveau client achète des actifs virtuels, il envoie l'intégralité du solde de son compte à un seul endroit.  
  • Stratégies fondées sur des données probantes pour prévenir les ransomwares :  
  • Après un premier échange important d'actifs virtuels, l'acheteur n'effectue pratiquement plus de transactions en monnaie virtuelle.   
  • Grâce à la technologie blockchain, nous pouvons tracer les ransomwares grâce aux adresses des portefeuilles des victimes.   
  • Accès instantané aux fonds après la conversion des actifs virtuels 
  • Transfert d'actifs virtuels vers des portefeuilles associés à des ransomwares   
  • Utiliser un VASP dans un pays dangereux   
  • Envoi de ressources virtuelles à un service de production musicale   
  • Utiliser une connexion sécurisée   
  • Les données de vérification sont une capture d'écran ou un nom de fichier comprenant "WhatsApp image" ou quelque chose de similaire.   
  • La syntaxe du client ne correspond pas à la tranche d'âge du client   
  • Les données relatives au client révèlent la présence d'une adresse électronique proton mail ou d'une adresse électronique discrète similaire.   
  • Informations incohérentes fournies pour l'identification ou tentative de création d'un faux compte   
  • Les mêmes coordonnées sont utilisées pour plusieurs comptes et les adresses sont utilisées de manière interchangeable.   
  • Un client apparemment utilisateur de VPN   
  • L'utilisation de transactions anonymes en crypto-monnaies 

Ce que l'avenir nous réserve 

Nous pouvons nous attendre à ce que le FATF et d'autres organisations internationales poursuivent leurs efforts pour lutter contre la menace croissante des attaques par ransomware et contre le blanchiment des produits de ces attaques.  

De leur côté, les gouvernements et les entreprises devront mettre en œuvre des mesures de sécurité plus robustes pour se protéger contre les attaques de ransomware et être prêts à réagir rapidement et efficacement en cas d'attaque.  

En outre, nous pourrions assister à un renforcement de la coopération et du partage d'informations entre les pays et les organismes chargés de l'application de la loi afin d'identifier et de traquer les cybercriminels impliqués dans les attaques de ransomware. En fin de compte, la prévention et l'atténuation des attaques de ransomware nécessiteront une approche globale et collaborative de la part de tous les acteurs concernés.