Le BSI met en garde contre les attaques ciblées de ransomware
L'Office fédéral de la sécurité des technologies de l'information (BSI) a enregistré un nombre croissant de compromissions de réseau dans les entreprises, qui se terminent par l'exécution manuelle et ciblée d'un cheval de Troie de chiffrement (ransomware).
Les pirates utilisent des campagnes de spam à grande échelle telles que Emotet Ils accèdent d'abord à des réseaux d'entreprise individuels et explorent ensuite manuellement le réseau et les systèmes des personnes concernées. Les pirates tentent alors de manipuler ou d'effacer les éventuelles sauvegardes et déploient ensuite de manière sélective des ransomwares coordonnés sur les systèmes informatiques des cibles prometteuses, comme le souligne le BSI dans sa lettre. Cela entraînerait parfois des perturbations considérables des processus d'exploitation. Selon le BSI, cette procédure complexe permet aux pirates d'exiger des entreprises des rançons nettement plus élevées que lors des précédentes campagnes de ransomware non ciblées. Outre les entreprises individuelles, les prestataires de services informatiques sont de plus en plus touchés, les pirates utilisant leurs réseaux pour accéder à leurs clients. Le BSI, par l'intermédiaire de CERT-Bund et de l'Alliance pour la cybersécurité, a émis une alerte de cybersécurité avec des détails techniques et des recommandations d'action.
Prendre au sérieux même les petits incidents de sécurité informatique
"Nous assistons actuellement à la diffusion massive par le crime organisé de méthodes d'attaque sophistiquées qui, il y a encore quelques mois, étaient réservées aux acteurs des services de renseignement. Les entreprises devraient prendre au sérieux même les petits incidents de sécurité informatique et y faire face de manière conséquente, car il peut tout à fait s'agir d'attaques préparatoires. Ce n'est que si nous considérons la sécurité de l'information comme une condition préalable à la numérisation que nous pourrons en profiter à long terme. Le BSI peut aider les entreprises dans ce domaine, par exemple dans le cadre de l'Alliance pour la cybersécurité", a déclaré le président du BSI, Arne Schönbohm.
Niveau de menace
La procédure décrite peut être observée actuellement avec plusieurs variantes différentes de ransomware. Ainsi, ces derniers mois, le BSI a pu analyser des campagnes de logiciels malveillants à grande échelle, dans lesquelles ce sont surtout des pièces jointes malicieuses ou des liens vers des sites web falsifiés dans des spams envoyés en masse qui ont servi de vecteur d'invasion. Après une infection réussie, d'autres logiciels malveillants (p. ex. "Trickbot") étaient souvent téléchargés pour se propager dans le réseau, s'emparer des données d'accès et évaluer le réseau ou les systèmes. Après une infection par ransomware réussie, des demandes de bitcoin parfois très élevées ont été formulées. Selon le BSI, il ne s'agissait pas d'exigences forfaitaires, mais de paiements individuels négociés.
Accès obtenu via des outils de télémaintenance
En Allemagne notamment, ce mode opératoire aurait été observé de manière accrue avec le ransomware GandCrab. Dans les cas connus, les pirates auraient d'abord accédé au réseau via des outils de maintenance à distance (p. ex. RDP, RescueAssist, LogMeIn), installé une porte dérobée sur différents systèmes du réseau des victimes, espionné d'autres victimes potentielles et finalement exécuté le ransomware. Des avertissements correspondants auraient déjà été émis par les offices régionaux de police criminelle.
Les éventuels incidents survenus en Suisse peuvent être signalés à la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (CESA). MELANI être communiquée.
