L'utilisation des menaces DDoS dans les tentatives d'extorsion ciblant les entreprises

La récente augmentation des attaques DDoS avec demande de rançon

Les attaques DDoS avec demande de rançon (RDDoS) et les tentatives d'extorsion visant les entreprises augmentent dans le monde entier. Les menaces RDDoS n'aboutissent pas toujours à une attaque, mais les cas observés ces derniers mois révèlent que les auteurs d'attaques sont prêts à mettre leurs menaces à exécution, en lançant des attaques DDoS de grande ampleur, capables de submerger les entreprises qui ne disposent pas d'une protection adéquate.

Dans une attaque RDDoS, un tiers malveillant menace une personne ou une entreprise de lancer une cyberattaque capable de mettre ses réseaux, sites web ou applications hors ligne pendant un certain temps, à moins que la personne ou l'entreprise visée ne lui verse une rançon.

Selon une étude de Kaspersky Lab, le coût moyen d'une attaque DDoS s'élève à 2 millions de dollars pour une entreprise. Par ailleurs, 23 % des entreprises déclarent avoir perdu des revenus ou des clients potentiels et 22 % ont constaté une dégradation de leur réputation auprès de leurs clients. Face à ces conséquences éventuelles, le versement d'une rançon peut paraître une option viable pour éliminer la menace d'une attaque DDoS. Toutefois, le fait de céder aux exigences des acteurs malveillants n'est jamais une bonne idée. En effet, l'opération ne fait que fournir des ressources supplémentaires à l'auteur de l'attaque, ressources qui lui permettront de lancer de nouvelles attaques à l'avenir.

En tant qu'entreprise leader en matière de solutions de prévention des attaques DDoS, Cloudflare est bien placée pour protéger les entreprises contre les attaques RDDoS et recommande à ces dernières de prendre des mesures pour se protéger de ce type d'attaque.

La menace actuelle

Les tentatives d'extorsion reposant sur une attaque DDoS sont mises en œuvre lorsque les entreprises victimes reçoivent des messages de menaces exigeant le versement d'une rançon avant une date et une heure précises. Si elles refusent de payer ou de respecter le délai de paiement, les auteurs de l'attaque menacent de lancer une attaque DDoS contre leurs réseaux et leurs propriétés web. Dans de nombreux cas, une attaque de démonstration sera également lancée par la partie malveillante, afin de démontrer qu'elle a la capacité de lancer une attaque.

Cloudflare a récemment constaté une forte augmentation du nombre d'attaques RDDoS signalées par des entreprises clientes. Les groupes malveillants qui revendiquent les menaces d'attaques RDDoS actuelles incluent des regroupements de « pirates informatiques » bien connus, comme Cozy Bear, Fancy Bear et Armada Collective.

Par le passé, nous avons déjà observé certains de ces groupes proférer des menaces en l'air. Les acteurs malveillants cherchaient alors tout simplement à gagner de l'argent rapidement, en partant du principe qu'un certain pourcentage des entreprises menacées verseront la rançon, quoi qu'il arrive. Les attaques récentes ont toutefois montré que ces menaces pouvaient être mises à exécution (et elles l'ont d'ailleurs été), bien que les entreprises disposant d'une solution d'atténuation des attaques DDoS demeurent protégées contre ces dernières.

La manière dont ces attaques s'alignent avec les tendances des attaques DDoS

Les attaques DDoS demeurent une menace constante, mais nous avons constaté une augmentation de l'activité DDoS ces dernières années. Le nombre d'attaques DDoS à l'encontre des couches 3 et 4 recensées sur le réseau Cloudflare au cours du deuxième trimestre a doublé par rapport au premier trimestre. En outre, Cloudflare a observé certaines des plus vastes attaques DDoS jamais atténuées par nos systèmes, notamment une attaque au pic évalué à tout juste un peu moins de 2 Tb/s.

Cette tendance s'est poursuivie en 2022. Dans un contexte d'augmentation du nombre des attaques DDoS, il n'est pas surprenant que les tentatives d'extorsion sous forme d'attaques RDDoS gagnent également en popularité.

Du fait de la pandémie de COVID-19, les entreprises dépendent plus que jamais de leur capacité à rester en ligne. Cette dépendance à l'égard d'Internet expose les entreprises aux menaces d'attaques et aux tentatives d'extorsion. Les groupes responsables de ces attaques effectuent manifestement des recherches afin de trouver des entreprises vulnérables, quelle que soit leur taille ou leur secteur d'activité. Nous avons en effet remarqué que le profil des entreprises ciblées varie considérablement.

Qui se cache (prétendument) derrière ces menaces d'attaques DDoS avec demande de rançon ?

Les criminels responsables de la récente vague d'attaques DDoS avec demande de rançon affirment représenter plusieurs groupes différents, parmi lesquels Cozy Bear, Fancy Bear et Armada Collective. Bien que ces affirmations puissent être vraies, elles sont difficilement vérifiables et les auteurs de tentatives d'extorsion par attaque DDoS ont fréquemment prétendu avoir des liens avec des groupes de pirates informatiques bien connus, afin de donner plus de poids à leurs menaces.

Armada Collective

Certains groupes criminels opèrent sous le nom « Armada Collective » depuis de nombreuses années. En 2015, un groupe se faisant appeler « Armada Collective » a lancé plusieurs attaques DDoS. En 2016, il a réapparu et extorqué de l'argent à plusieurs victimes sous la menace d'attaques DDoS, en prétendant pouvoir lancer des attaques « supérieures à 1 Tb/s par seconde » [sic]. On ignore s'il s'agit ou non du même individu ou du même groupe que le groupe Armada Collective responsable des attaques de 2015. Nos recherches indiquent que le groupe a obtenu le versement de plusieurs rançons, mais il ne semble pas avoir effectivement lancé d'attaques DDoS en 2016.

En 2020, Armada Collective est de nouveau actif, bien qu'il soit toujours difficile de déterminer s'il s'agit du même groupe ou d'un autre groupe revendiquant le même nom. Contrairement aux « attaques » d'Armada Collective en 2016, l'auteur ou le groupe responsable de ces attaques met ses menaces à exécution et lance des attaques DDoS contre ses cibles, comme en 2015.

Fancy Bear

Basé en Russie, le groupe Fancy Bear est spécialisé dans la cybercriminalité et l'espionnage. Fancy Bear a déjà ciblé des gouvernements, des personnalités politiques et des journalistes par le passé, principalement sous forme d'attaques par « spear phishing » (hameçonnage ciblé) et d'exploitations menées par des logiciels malveillants. Le coup d'éclat du groupe réside dans la compromission des serveurs et du réseau du Comité national démocrate américain en 2016.

Nous ne disposons d'aucun rapport crédible indiquant que Fancy Bear a utilisé des attaques DDoS pour atteindre ses objectifs. Il est peu probable que l'auteur d'une attaque DDoS avec demande de rançon représente réellement le groupe Fancy Bear, mais plutôt d'un individu qui se fait simplement passer pour un de ses membres.

Cozy Bear

Également basé en Russie, Cozy Bear constitue un autre groupe spécialisé dans le cyberespionnage. Il a tendance à cibler les personnalités ou les formations politiques. Ce groupe a développé ses propres suites de logiciels malveillants, qu'il utilise en combinaison avec des attaques par « spear phishing » (hameçonnage ciblé) pour compromettre les réseaux et les serveurs. Comme dans le cas de Fancy Bear, aucun rapport crédible ne montre que Cozy Bear se sert de la menace DDoS en tant que technique d'attaque.

Si votre entreprise a reçu une demande de rançon la menaçant d'une attaque DDoS, que devez-vous faire ?

Étape nº 1 : ne versez pas la rançon demandée

Le fait de céder aux demandes des auteurs de l'attaque n'arrange aucunement votre situation face à une attaque potentielle, car rien ne pousse les groupes criminels à tenir parole. Une entreprise qui verse la rançon peut même être perçue comme une cible encore plus désirable, dans la mesure où elle a montré sa volonté de se conformer à des exigences illégales.

Étape nº 2 : alertez les autorités appropriées

L'extorsion est un crime. Si un individu a tenté d'extorquer de l'argent à votre entreprise en brandissant la menace d'une attaque DDoS, assurez-vous de porter plainte auprès des autorités compétentes.

Étape nº 3 : déployez une protection anti-DDoS

Les menaces d'attaque DDoS avec demande de rançon peuvent paraître intimidantes, mais la plupart des fournisseurs de solutions anti-DDoS peuvent offrir une protection plus que suffisante contre les attaques évoquées dans les menaces. Évaluée à 2,54 térabits par seconde (Tb/s), la plus vaste attaque DDoS mentionnée publiquement de toute l'histoire s'est déroulée en septembre 2017 et a été atténuée.

Restez en ligne avec l'assistance de Cloudflare

Si le nombre d'attaques DDoS avec demande de rançon est en hausse, la protection anti-DDoS peut aider à protéger votre entreprise. Contactez Cloudflare pour bénéficier d'une protection instantanée lorsque votre entreprise se trouve sous les feux d'une attaque. Grâce à notre processus sans contrat, les entreprises victimes d'une attaque peuvent être intégrées en quelques heures seulement.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Points clés

Cet article vous permettra de comprendre les points suivants :

• La récente hausse des menaces RDDoS

• La manière dont les attaques RDDoS s'alignent avec les tendances des attaques DDoS

• Les organisations à l'œuvre derrière les menaces

• Nos recommandations d'actions à entreprendre en cas de réception d'une menace RDDoS

Ressources associées

• Cinq bonnes pratiques pour mitiger les attaques DDoS

• Blog : une attaque DDoS multi-vectorielle de près de 2 Tb/s

• Tendances en matière d'attaques DDoS au quatrième trimestre 2021

• Bénéficier d'une aide immédiate grâce à Cloudflare