Qu’est-ce que la cyber extorsion ?

La cyber extorsion est une cybercriminalité néfaste dans laquelle les acteurs de la menace exploitent les vulnérabilités de la sécurité pour violer les systèmes de sécurité numérique et obtenir un accès non autorisé à des biens de valeur. Ces actifs vont des données confidentielles et de la propriété intellectuelle aux devises financières et aux systèmes d’infrastructure critiques.

Une fois en possession de ces biens, les cybercriminels demandent une rançon à leurs victimes. Les victimes se retrouvent dans une situation précaire où elles doivent payer pour empêcher la divulgation, l’altération ou la destruction de leurs biens ou pour en récupérer la propriété.

Il existe deux formes prédominantes de cyber extorsion : les ransomwares et les attaques par déni de service distribué (DDoS). Les ransomwares impliquent des malwares qui chiffrent les données d’une victime, les rendant inaccessibles jusqu’à ce qu’elle paie la rançon. Les attaques DDoS, quant à elles, inondent le réseau, le service ou le système d’une victime de trafic internet, provoquant son arrêt. Les attaquants demandent alors une rançon pour mettre fin à l’attaque.

La cyber extorsion inflige à ses victimes d’importants préjudices financiers et de réputation, ce qui incite les organisations et les particuliers à mettre en place des mesures et des politiques de cybersécurité afin d’atténuer cette menace croissante.

Bien que la définition de la cyber extorsion puisse se recouper avec d’autres formes de cyber-attaques, comme indiqué ci-dessus, il est important de comprendre comment elle fonctionne, comment elle se présente et comment la prévenir.

La cyber extorsion fonctionne d’une manière particulière qui varie en fonction des tactiques, des techniques et des procédures employées par les acteurs de la menace.

Toutefois, plusieurs étapes générales caractérisent généralement le processus.

1. Infiltration : La cyber extorsion commence par la compromission initiale du réseau, du système ou des données de la victime, généralement par le biais de diverses méthodes d’infiltration. Les cybercriminels peuvent utiliser des techniques de phishing pour inciter les victimes à installer des logiciels malveillants ou à divulguer des informations sensibles. Ils peuvent également exploiter les vulnérabilités des logiciels, du matériel ou des facteurs humains d’une organisation pour obtenir un accès non autorisé.
2. Installation et propagation : Une fois à l’intérieur d’un système, les attaquants installent souvent des malwares, tels que des ransomwares, qui chiffrent les données de la victime. Certains malwares sont conçus pour se propager sur l’ensemble du réseau, en infectant autant d’appareils et de systèmes que possible pour maximiser l’impact.
3. Verrouillage et extorsion : Après avoir pris le contrôle des systèmes ou des données de la victime, les cybercriminels passent à l’action. Lors d’une attaque par ransomware, les victimes se rendent compte que leurs données ont été chiffrées et qu’elles ne peuvent plus y accéder. Elles reçoivent alors une note de rançon exigeant un paiement (généralement dans une crypto-monnaie comme le bitcoin) pour obtenir la clé de décryptage. Lors d’une attaque DDoS, les cybercriminels inondent le réseau de la victime d’un trafic écrasant, le rendant indisponible. Dans ce cas, la demande de rançon porte sur la cessation de l’attaque.
4. Paiement : Si les victimes choisissent de payer la rançon (ce qui n’est généralement pas conseillé par les services répressifs car cela alimente l’entreprise criminelle), les attaquants doivent fournir les moyens de récupérer les données ou de restaurer les systèmes. Cependant, il n’y a aucune garantie que les cybercriminels respecteront leur part du marché.
5. Persistance et répétition : dans de nombreux cas, les attaquants maintiennent une présence dans le système de la victime pour d’éventuelles attaques futures ou pour voler davantage de données à vendre ou à utiliser à d’autres fins malveillantes. La présence continue de l’attaquant souligne encore davantage l’importance d’une réponse approfondie à l’incident et d’un nettoyage du système après une attaque.

Chaque cas de cyber extorsion est unique dans ses spécificités, mais ces grandes lignes permettent de comprendre comment les stratagèmes sont mis en œuvre.

La cyber extorsion se présente sous diverses formes, avec des méthodes et des implications uniques.

Comprendre les types courants de cyber extorsion permet non seulement aux individus et aux organisations d’acquérir les connaissances nécessaires pour identifier les menaces potentielles, mais aussi de concevoir des contre-mesures efficaces.

Attaques par ransomware

Lors d’une attaque par ransomware, les cybercriminels s’infiltrent dans un réseau et chiffrent les données de la victime, les rendant inaccessibles. Ils demandent ensuite une rançon, généralement payée en crypto-monnaies intraçables, pour obtenir la clé de décryptage permettant de déverrouiller les données.

Les attaques WannaCry et Petya, qui ont touché des milliers de systèmes dans le monde entier, en sont des exemples très médiatisés.

Extorsion par déni de service distribué (DDoS)

Cette forme de cyber extorsion consiste à submerger le site web ou le réseau d’une cible d’un flot de trafic internet, provoquant ainsi son arrêt. L’attaquant exige ensuite un paiement pour mettre fin à l’attaque. Parmi les groupes notoires impliqués dans l’extorsion par DDoS, on peut citer Fancy Lazarus et DD4BC.

Extorsion par doxing

Dans les cas de doxing, les acteurs de la menace obtiennent des informations sensibles, confidentielles ou embarrassantes sur une victime, telles que des photos personnelles, des emails ou des données sur les clients, et menacent de divulguer publiquement ces informations à moins qu’une rançon ne soit payée.

Cette forme d’extorsion s’appuie sur l’atteinte potentielle à la réputation pour forcer les victimes à se plier aux exigences des extorqueurs.

Extorsion en cas de violation de données

Comme le doxing, l’extorsion en cas de violation de données implique l’accès non autorisé et l’exfiltration de données sensibles, mais généralement à plus grande échelle, impliquant souvent des sociétés ou de grandes entités.

Les attaquants menacent ensuite de divulguer ou de vendre les données volées à moins qu’une rançon ne soit payée. Ces données peuvent être des informations commerciales exclusives, des données sur les clients ou toute autre information sensible.

Extorsion par cyber-sexe (sextorsion)

Dans les cas de “sextorsion”, les auteurs incitent leurs victimes à leur fournir des photos ou des vidéos explicites, ou bien, ils piratent l’appareil de la victime pour obtenir ce type de matériel.

Ils exigent ensuite de l’argent sous la menace de partager le contenu explicite avec les contacts de la victime ou sur l’internet.

Extorsion de vulnérabilité logicielle

Dans ce cas, les cybercriminels identifient les vulnérabilités des logiciels d’une entreprise et demandent une rançon pour ne pas exposer la vulnérabilité. Ils extorquent ainsi à la victime un préjudice potentiel causé par d’autres acteurs malveillants qui exploiteraient la vulnérabilité.

Chacune de ces formes de cyber extorsion a des tactiques et des cibles uniques, nécessitant des stratégies de prévention et d’atténuation spécifiques. Mais elles ont toutes un objectif commun : exploiter l’accès, le contrôle ou les informations d’une manière qui pousse les victimes à payer une rançon.

Les termes “cyber extorsion” et “ransomware” sont souvent utilisés de manière interchangeable en raison de leur lien avec le domaine de la cybersécurité. Pourtant, il est essentiel de comprendre que ces deux concepts interconnectés ne sont pas interchangeables.

La cyber extorsion est un terme générique qui englobe diverses formes de chantage numérique, où les auteurs demandent une rançon à leurs victimes pour éviter des dommages ou des perturbations.

Les dommages menacés peuvent être la fuite de données, l’indisponibilité du système, l’exposition d’informations confidentielles, etc. Les méthodes de cyber extorsion comprennent les attaques par ransomware, les attaques DDoS, le doxing et la sextorsion, entre autres.

Le ransomware est un type spécifique de malware et un sous-ensemble de la cyber extorsion. Lors d’une attaque par ransomware, un logiciel malveillant est installé sur le système de la victime, souvent par le biais d’une tactique de phishing ou en exploitant les vulnérabilités du système.

Ce malware chiffre les données de la victime, les rendant inaccessibles. Les attaquants promettent ensuite de fournir la clé de décryptage en échange d’un paiement afin que la victime puisse retrouver l’accès à ses données.

Par essence, le ransomware est un outil ou une technique utilisé par les cybercriminels et représente l’une des nombreuses stratégies de la cyber extorsion au sens large.

Si toutes les attaques par ransomware peuvent être considérées comme une forme de cyber extorsion, tous les incidents de cyber extorsion n’impliquent pas un ransomware.

La cyber extorsion se présente sous de nombreuses formes, et d’innombrables cas réels se sont manifestés au fil des ans. Parmi les cas les plus emblématiques, on peut citer :

• L’attaque Colonial Pipeline (2021) : DarkSide, un groupe de cybercriminels, a perpétré une attaque par ransomware contre le Colonial Pipeline, le plus grand système d’oléoducs pour les produits pétroliers raffinés aux États-Unis. Cette attaque par ransomware a donné lieu à une rançon de près de 5 millions de dollars versée par Colonial Pipeline pour reprendre le contrôle de ses systèmes.
• L’attaque du ransomware Garmin (2020) : En juillet 2020, Garmin, une multinationale spécialisée dans les technologies, a été victime d’une attaque par ransomware qui a mis hors service un grand nombre de ses services connectés pendant plusieurs jours. Des rapports suggèrent que l’entreprise aurait payé une rançon de plusieurs millions de dollars pour résoudre le problème, bien que Garmin n’ait pas officiellement confirmé le paiement.
• L’attaque par ransomware de Travelex (2020) : La société de change Travelex a été victime d’une attaque de ransomware la veille du Nouvel An 2019, qui a mis ses services hors service pendant des semaines. Les attaquants ont demandé une rançon de 6 millions de dollars. Travelex aurait payé 2,3 millions de dollars en bitcoins pour retrouver l’accès à ses systèmes informatiques.
• L’attaque par ransomware à Atlanta (2018) : En mars 2018, Atlanta a subi une attaque de ransomware qui a paralysé plusieurs systèmes critiques, affectant divers services de la ville. Les attaquants ont exigé une rançon de 51 000 dollars, que la ville n’a apparemment pas payée. Toutefois, les coûts de récupération et d’atténuation des conséquences de l’attaque ont été estimés à plus de 2,6 millions de dollars.
• Le piratage de Sony Pictures (2014) : Un groupe se faisant appeler “Guardians of Peace” a accédé au réseau de Sony et a volé une grande quantité de données sensibles, y compris des films inédits, des emails et des données. Ils ont menacé de divulguer ces informations si Sony ne retirait pas un film controversé intitulé “The Interview”, dans lequel est décrit l’assassinat du dirigeant de la Corée du Nord. Bien qu’il n’y ait pas eu de demande explicite d’argent, la cyberattaque de Sony a coûté environ 15 millions de dollars rien que pour le nettoyage immédiat, sans parler de l’atteinte à la réputation de Sony.

Chaque cas illustre l’impact financier et opérationnel important de la cyber extorsion. Il convient toutefois de noter que les coûts cachés de ces incidents sont souvent bien plus élevés que les rançons versées, notamment les coûts liés à l’indisponibilité des systèmes, à l’intervention en cas d’incident, à l’atteinte à la réputation et à d’éventuelles sanctions réglementaires.

Face à une attaque, les victimes de cyber extorsion sont souvent confrontées à la décision de payer ou non la rançon. Ce choix est complexe et lourd d’implications pratiques et éthiques.

Le FBI et de nombreux experts en cybersécurité déconseillent généralement le paiement de la rançon. Plusieurs raisons expliquent cette position.

Tout d’abord, le paiement ne garantit pas la restauration des données ou des systèmes ; il existe de nombreux cas où les victimes ont payé la rançon demandée, mais où le cyber-attaquant n’a pas fourni les clés de décryptage promises ou n’a pas mis fin à l’attaque.

En choisissant de payer, la victime peut être considérée comme un “payeur volontaire”, ce qui fait d’elle une cible plus attrayante pour de futures attaques. En outre, même si les attaquants fournissent une clé de décryptage, rien ne garantit qu’ils aient complètement supprimé leur accès au système de la victime, ce qui laisse la possibilité d’attaques futures.

D’un autre côté, pour certaines victimes, le paiement de la rançon peut sembler être le moyen le plus rapide et le plus rentable de rétablir les opérations, en particulier si l’on considère les coûts potentiels d’un temps d’arrêt prolongé, d’une perte de données, d’une atteinte à la réputation et de sanctions réglementaires.

Les organisations doivent évaluer ces facteurs, idéalement en s’appuyant sur les conseils de professionnels de la cybersécurité et d’organismes chargés de l’application de la loi.

La cyber assurance en vaut-elle la peine ?

La cyber assurance offre une protection aux organisations vulnérables aux attaques agressives de cyber extorsion. Elle permet d’atténuer l’impact financier d’une cyberattaque en compensant les coûts de récupération, y compris l’intervention en cas d’incident, la récupération des données, les frais juridiques et, dans certains cas, même le paiement de la rançon.

Il convient de noter que si certaines polices d’assurance peuvent couvrir les paiements de rançon, les organisations doivent savoir que les organismes de réglementation peuvent imposer des pénalités pour le paiement d’une rançon à certaines entités en raison de la réglementation sur les sanctions.

En outre, les entreprises doivent bien comprendre la couverture de leur police d’assurance, car toutes les polices ne se valent pas.

Les entreprises de toutes tailles doivent être vigilantes et se prémunir contre les attaques de cyber extorsion.

Voici quelques stratégies et outils qui vous aideront à protéger votre entreprise :

1. Mettre en œuvre des mesures de sécurité robustes : Adoptez une approche de sécurité à plusieurs niveaux. Cela inclut la protection par pare-feu de votre connexion internet, le chiffrement des données sensibles de l’entreprise, l’authentification multifactorielle pour les comptes et des mots de passe sécurisés et uniques pour tous les utilisateurs.
2. Sauvegardes régulières : Sauvegardez régulièrement toutes les données et les configurations du système. Conservez des copies de vos sauvegardes hors ligne ou dans le cloud pour vous assurer qu’une attaque ne puisse pas les compromettre sur votre réseau. Testez régulièrement vos sauvegardes et mettez en œuvre une politique de conservation des données pour que votre équipe reste sur la bonne voie.
3. Gestion des correctifs : Maintenez tous les logiciels, systèmes d’exploitation et applications à jour grâce à une gestion régulière des correctifs. Généralement, les cybercriminels ciblent des vulnérabilités connues dans les logiciels, et l’application de correctifs en temps opportun peut prévenir bon nombre de ces attaques.
4. Formation des employés : Vos employés constituent une ligne de défense essentielle contre les cybermenaces. Une formation régulière pour reconnaître et éviter les tentatives de phishing, les téléchargements suspects et les sites web peu sûrs peut réduire considérablement le risque d’attaque.
5. Plan d’intervention en cas d’incident : Créez un plan complet de réponse aux incidents qui décrit les mesures à prendre en cas de cyberattaque. Le plan d’intervention doit inclure les rôles et les responsabilités, les stratégies de communication et les mesures de récupération. Un plan bien structuré peut limiter les dégâts et réduire les délais et les coûts de rétablissement.
6. Faites appel à des professionnels de la cybersécurité : Si possible, engagez ou consultez des professionnels de la cybersécurité. Ils peuvent procéder à une évaluation approfondie des menaces, recommander des mesures de sécurité appropriées et apporter leur aide en cas d’incident.
7. Cyber assurance : Comme nous l’avons vu précédemment, envisagez d’intégrer une cyber-assurance dans votre stratégie de gestion des risques afin de bénéficier d’une protection financière et d’un accès aux ressources de réponse aux incidents en cas d’attaque.

En mettant en œuvre ces stratégies, les organisations peuvent réduire considérablement le risque d’être victimes d’une cyber extorsion. L’essentiel est d’être proactif, de donner la priorité à la cybersécurité et de réagir immédiatement et efficacement en cas d’incident. Les cybermenaces évoluent en permanence, et vos défenses doivent en faire autant.

Proofpoint propose une approche multidimensionnelle de la cybersécurité qui prend en compte les éléments techniques et humains du paysage des menaces. En mettant l’accent sur la sécurité centrée sur les personnes, Proofpoint s’attaque à l’élément humain de la cybersécurité, qui est généralement le maillon faible de la posture de sécurité d’une organisation.

La protection avancée contre les menaces de Proofpoint intercepte et neutralise les menaces avant qu’elles ne puissent atteindre les utilisateurs, empêchant ainsi efficacement les ransomwares et autres malwares d’infiltrer vos systèmes. La solution s’appuie sur des techniques d’apprentissage automatique et de sandboxing pour détecter et bloquer les menaces connues et inconnues.

Par ailleurs, les solutions Email Protection et Targeted Attack Protection de Proofpoint permettent de se prémunir contre le phishing et les autres menaces basées sur le courrier électronique, vecteurs les plus courants des ransomwares et d’autres formes de cyber extorsion. Ces solutions utilisent des analyses avancées pour identifier et mettre en quarantaine les emails malveillants, réduisant ainsi le risque que les utilisateurs activent involontairement des charges utiles malveillantes.

Les solutions de sensibilisation à la sécurité de Proofpoint peuvent jouer un rôle essentiel dans la formation des employés aux cybermenaces et leur apprendre à reconnaître et à répondre aux différentes stratégies d’attaque, y compris celles utilisées dans la cyber extorsion.

Et dans le cas malheureux d’un incident de cyber extorsion, les services de réponse aux menaces de Proofpoint apportent une aide précieuse dans la gestion et l’atténuation de l’attaque, contribuant ainsi à réduire le temps et les coûts de rétablissement.

Assemblez une solution de cybersécurité complète pour votre organisation et contactez Proofpoint.