L'utilisation des menaces DDoS pour les tentatives d'extorsion ciblant les entreprises

La récente augmentation des attaques DDoS avec demande de rançon

Les attaques DDoS avec demande de rançon (RDDoS) et les tentatives d'extorsion ciblant les organisations augmentent dans le monde entier. Les menaces RDDoS n'aboutissent pas toujours à une attaque, mais les cas observés ces derniers mois révèlent que les auteurs d'attaques sont prêts à mettre la menace à exécution, en lançant des attaques DDoS de grande ampleur, capables de submerger les organisations qui ne disposent pas d'une protection adéquate.

Dans une attaque RDDoS, un tiers malveillant menace une personne ou une organisation de lancer une cyberattaque capable de mettre hors ligne ses réseaux, sites web ou applications pendant un certain temps, à moins que la personne ou l'organisation ne lui verse une rançon.

Le coût moyen d'une attaque DDoS pour une entreprise est de 2 millions de dollars, selon une étude de Kaspersky Lab. Par ailleurs, 23 % des entreprises déclarent avoir perdu des revenus ou des clients potentiels, et 22 % ont constaté une atteinte à leur réputation parmi les clients. Face à ces éventuelles conséquences, le versement d'une rançon pour éliminer la menace d'une attaque DDoS peut sembler une option viable. Cependant, verser la rançon n'est jamais une bonne idée ; cela fournit simplement à l'auteur de l'attaque des ressources supplémentaires qui lui permettront de lancer encore plus d'attaques à l'avenir.

En tant que leader des solutions de prévention des attaques DDoS, Cloudflare est bien placé pour protéger les organisations contre les attaques RDDoS et recommande aux organisations de prendre des mesures pour se protéger de ces attaques.

La menace actuelle

Les tentatives d'extorsion reposant sur une attaque DDoS sont mises en œuvre lorsque les organisations victimes reçoivent des messages de menaces exigeant le paiement avant une date et une heure précises. Si elles refusent de payer la rançon ou de respecter le délai de paiement, les auteurs de l'attaque menacent de lancer une attaque DDoS contre leurs réseaux et leurs propriétés web. Dans de nombreux cas, une attaque de démonstration sera également lancée par la partie malveillante, afin de démontrer qu'elle a la capacité de lancer une attaque.

Cloudflare a récemment constaté une forte augmentation du nombre de clients entreprises signalant des attaques RDDoS. Parmi les groupes malveillants qui revendiquent les menaces d'attaques RDDoS actuelles figurent des groupes de « pirates informatiques » bien connus, tels que Cozy Bear, Fancy Bear et Armada Collective.

Par le passé, nous avons vu des menaces être lancées sans autre suite par certains de ces groupes – des auteurs d'attaques cherchant à gagner de l'argent rapidement, en supposant qu'un certain pourcentage des organisations menacées verseront la rançon, quoi qu'il arrive. Cependant, les attaques récentes ont démontré que ces menaces pouvaient être mises à exécution (et qu'elles l'ont été), bien que les entreprises ayant déployé une solution d'atténuation des attaques DDoS en soient protégées.

Comment ces attaques se conforment aux tendances des attaques DDoS en 2020

Les attaques DDoS demeurent une menace, mais en 2020, nous avons constaté une augmentation de l'activité des menaces DDoS. Le nombre d'attaques DDoS ciblant les couches 3 et 4 sur le réseau Cloudflare au deuxième trimestre a doublé par rapport au premier trimestre. En outre, au deuxième trimestre 2020, Cloudflare a observé certaines des plus vastes attaques DDoS jamais atténuées par ses systèmes, notamment une attaque transmettant 754 millions de paquets par seconde à son apogée.

Cette tendance s'est poursuivie au second semestre de l'année. Au fur et à mesure que les attaques DDoS continuent d'augmenter en nombre, il n'est pas surprenant que les tentatives d'extorsion RDDoS gagnent également en popularité.

En raison des confinements imposés en raison de la pandémie de COVID-19, les organisations dépendent plus que jamais de leur capacité à rester en ligne. Cette dépendance à l'égard d'Internet expose les entreprises aux menaces d'attaques et aux tentatives d'extorsion. Il est évident que les groupes responsables de ces attaques recherchent des organisations vulnérables, quelle que soit leur taille ou leur secteur d'activité ; en effet, nous avons remarqué que le profil des organisations ciblées varie considérablement.

Qui est (prétendument) derrière ces menaces d'attaques DDoS avec demande de rançon ?

Les criminels responsables de la récente vague d'attaques DDoS avec demande de rançon prétendent représenter plusieurs groupes différents, parmi lesquels Cozy Bear, Fancy Bear et le Collectif Armada. Bien que leurs affirmations puissent être vraies, elles sont difficilement vérifiables, et les auteurs de tentatives d'extorsion par attaque DDoS ont fréquemment prétendu avoir des liens avec des groupes de pirates informatiques bien connus, afin de donner plus de poids à leurs menaces.

Armada Collective

Des groupes criminels opèrent sous le nom « Armada Collective » depuis de nombreuses années, maintenant. En 2015, un groupe appelé « Armada Collective » a lancé plusieurs attaques DDoS. En 2016, il a réapparu et extorqué de l'argent à plusieurs victimes en brandissant la menace d'attaques DDoS, prétendant être capable de lancer des attaques de « plus de 1 Tb/s par seconde [sic] ». On ignore s'il s'agit ou non du même individu ou du même groupe que le groupe Armada Collective responsable des attaques de 2015. Nos recherches indiquent que le groupe a obtenu le versement de plusieurs rançons, mais il ne semble pas avoir réellement lancé d'attaques DDoS en 2016.

En 2020, Armada Collective est de nouveau actif, bien qu'il soit toujours difficile de déterminer s'il s'agit du même groupe ou d'un autre groupe revendiquant le même nom. Contrairement aux « attaques » d'Armada Collective en 2016, l'auteur ou le groupe responsable de ces attaques met ses menaces à exécution et lance des attaques DDoS contre ses cibles, comme en 2015.

Fancy Bear

Fancy Bear est un groupe basé en Russie, spécialiste de la cybercriminalité et de l'espionnage. Dans le passé, Fancy Bear a ciblé des gouvernements, des personnalités politiques et des journalistes, utilisant principalement des attaques par « spear phishing » et des logiciels malveillants. Le coup d'éclat du groupe est peut-être d'avoir compromis les serveurs et le réseau du Comité national démocrate américain en 2016.

Nous ne disposons d'aucun rapport crédible indiquant que Fancy Bear a utilisé des attaques DDoS pour atteindre ses objectifs. Il est peu probable que l'auteur d'une attaque DDoS avec demande de rançon représente réellement Fancy Bear ; il est probable qu'il se fasse simplement passer pour Fancy Bear.

Cozy Bear

Cozy Bear est un autre groupe de cyber-espionnage basé en Russie, qui tend à cibler les personnalités ou les groupes politiques. Ce groupe a développé ses propres suites de logiciels malveillants, qu'il utilise conjointement à des attaques par « spear phishing » pour compromettre les réseaux et les serveurs. Comme dans le cas de Fancy Bear, il n'existe aucun rapport crédible relatant l'utilisation d'attaques DDoS par Cozy Bear.

Si votre organisation a reçu une demande de rançon la menaçant d'une attaque DDoS, que devez-vous faire ?

Étape n° 1 : ne versez pas la rançon demandée

Satisfaire les demandes des auteurs de l'attaque ne fait rien pour empêcher une attaque potentielle, car cela ne donne pas aux groupes criminels de raison de tenir parole. Une organisation qui verse la rançon peut être considérée comme une cible encore plus désirable, dans la mesure où elle a montré sa volonté de se conformer à des exigences illégales.

Étape n° 2 : alertez les institutions compétentes des forces de l'ordre

L'extorsion est un crime. Si un individu a tenté d'extorquer de l'argent à votre organisation en brandissant la menace d'une attaque DDoS, assurez-vous de porter plainte auprès des autorités compétentes.

Étape n° 3 : déployez une protection anti-DDoS

Les menaces d'attaque DDoS avec demande de rançon peuvent paraître intimidantes, mais la plupart des fournisseurs de solutions de protection anti-DDoS peuvent offrir une protection plus que suffisante contre les attaques évoquées dans les menaces. La plus vaste attaque DDoS publiquement divulguée de l'histoire, à 2,54 térabits par seconde (Tb/s), a eu lieu en septembre 2017, et a été atténuée.

Restez en ligne avec l'assistance de Cloudflare

Si le nombre d'attaques DDoS avec demande de rançon est en hausse, la protection anti-DDoS peut aider à protéger votre entreprise. Contactez Cloudflare pour bénéficier d'une protection instantanée en cas d'attaque lancée contre votre entreprise. Grâce à un processus sans contrat, les entreprises subissant une attaque peuvent être intégrées en quelques heures seulement.

Approfondissez la question : pour savoir comment vous pouvez protéger votre entreprise contre les attaques DDoS, consultez l'ebook Cinq bonnes pratiques pour mitiger les attaques DDoS.

Cet article fait partie de notre série consacrée aux tendances et sujets d’actualité qui intéressent les décideurs technologiques d’aujourd’hui.