DdoS : les rançons reviennent à la mode

Spread the love
  • Yum

DdoS : les rançons reviennent à la mode

Il n’y a pas que les ransomwares qui demandent des rançons, les attaques DdoS le font aussi : le CERT-FR indique ainsi dans un bulletin d’information publié mercredi avoir détecté une vague « d’attaques en déni de service distribué associées à des demandes de rançon (RDDoS) ». Le CERT fait savoir que ces attaques sont en recrudescence auprès des entreprises françaises depuis août 2020, mais que la campagne en question avait déjà été identifiée en 2019.

publicité

Plus de peur que de mal

Le fonctionnement de l’attaque décrit par le CERT est le suivant : les victimes reçoivent tout d’abord un e-mail des auteurs, qui se présentent comme faisant partie d’un groupe de cybercriminels connu (Lazarus, Carbanak, Silence, Fancy Bear ou encore Armada Collective.) Ils indiquent ensuite à la victime que celle-ci va être ciblée par des attaques Ddos et demandent une rançon (de 20 bitcoins dans l’exemple donné par le CERT-FR) et prétendent être capables de mener des attaques atteignant le volume de 2 Terabits par seconde. Pour encourager les victimes à payer, ces e-mails sont suivis « d’attaques DdoS de démonstration qui a pour cible l’infrastructure back-end, les API ou encore les serveurs DNS de la victime », afin de provoquer des perturbations de service.

Comme l’explique le CERT, ces menaces sont à relativiser : l’Anssi explique ainsi n’avoir constaté aucune attaque dont la volumétrie a dépassé les 200 gigabits par seconde, soit une attaque conséquente, mais qui reste dans la moyenne des attaques DdoS constatées ces derniers mois. Aucune attaque de grande ampleur n’a été détectée suivant les paiements ou non des rançons, selon l’Anssi. « Ces menaces s’apparentent à une escroquerie, dans la mesure où aucune de celles observées n’a été mise à exécution et donc suivie d’action en cas de non-paiement », ajoute l’agence, qui précise que les attaquants ne seraient de toute façon pas en mesure de différencier les victimes ayant payé la rançon de ceux n’ayant pas payé. « En effet, le bitcoin assure l’anonymat des transactions, et une seule adresse bitcoin est réutilisée dans plusieurs courriels destinés à des cibles différentes. »

L’utilisation de cette adresse bitcoin unique a néanmoins permis à l’agence de constater que, par le biais de cette campagne d’e-mails, les escrocs ont réussi à amasser plusieurs milliers de dollars auprès des victimes.

Fear, uncertainty and DdoS

Cette campagne avait déjà été identifiée dans le courant de l’année 2019 et l’e-mail de menace et la méthodologie employée était déjà décrite par la société Akamai en fin d’année dernière. Une vague de menaces de ce type a été détectée à la fin du mois d’août 2020, signalée notamment par le FBI américain, et des groupes employant cette méthodologie ont notamment perturbé le fonctionnement de la bourse néo-zélandaise.

Le ou les groupes à l’origine des attaques tentent de se faire passer pour d’autres groupes connus et de profiter de leur réputation pour récupérer des rançons. Une tactique connue et employée par de nombreux groupes depuis maintenant plusieurs années : CloudFlare alertait déjà sur ce type d’e-mails malveillant en 2016, indiquant que des attaquants tentaient de se faire passer pour le collectif Armada dans le but d’extorquer des bitcoins à des victimes un peu trop crédules.

Dans certains cas, les noms des groupes évoqués par les attaquants ne sont absolument pas associés à des campagnes d’attaques DdoS : le groupe Silence est par exemple spécialisé dans les logiciels malveillants bancaires, tout comme le groupe Carbanak. Les groupes Fancy Bear ou Lazarus sont eux des groupes associés à des Etats (la Russie et la Corée du Nord) et leurs activités sont généralement plus sophistiquées que des attaques DdoS. On peut néanmoins rappeler que le collectif Armada s’était spécialisé dans les attaques DdoS doublées de demandes de rançon. Mais ce groupe, actif en 2015, est silencieux depuis plusieurs années.

L’Anssi conseille évidemment de ne pas payer la rançon, le contraire aurait été étonnant. Dans ce cas précis, le paiement de la rançon ne changera rien, étant donné que les attaquants comptent avant tout sur la peur pour extorquer de l’argent, et ne disposent pas des ressources nécessaires pour mener à bien leurs attaques. On peut également rappeler la mésaventure vécue par Protonmail en 2015 : ciblés par le collectif Armada, le service d’e-mail sécurisé avait accepté sous la contrainte de payer la rançon et l’attaque avait pourtant continué. Dans tous les cas de figure, difficile donc de se convaincre que le paiement d’une rançon changera quoi que ce soit.

Leave a Reply

Your email address will not be published. Required fields are marked *