Actualité Politique, Économie, Sport , en France et du reste
Notification de la résurgence des menaces DDoS de rançon
07/06/2021 à 15h34 par La redaction
Publicité
Publicité

Qu'est-ce qu'une attaque par rançon-DDoS ?
Une attaque DDoS (RDDoS) par rançon se produit lorsqu'une partie malveillante tente d'extorquer de l'argent à un individu ou à une organisation en les menaçant d'une attaque par déni de service distribué (DDoS).

La plupart des attaques DDoS par rançon commencent par une demande de rançon envoyée à la cible dans laquelle l'attaquant menace l'entreprise ou l'organisation. Dans certains cas, un attaquant peut effectuer une petite attaque de démonstration pour illustrer leur gravité avant d'envoyer une demande de rançon.

Que faire si vous recevez une menace ?
Ne paniquez pas et ne payez pas la rançon : payer la rançon ne fait qu'encourager les mauvais acteurs - et rien ne garantit qu'ils n'attaqueront pas votre réseau maintenant ou plus tard.
Avertissez les forces de l'ordre locales : elles vous demanderont probablement également une copie de la lettre de rançon que vous avez reçue.
Comment pouvez-vous vous préparer maintenant à cette menace ?
Activer le mode sous attaque lors d'une attaque DDoS active : toutes les propriétés Internet proxy par Cloudflare sont déjà protégées contre les attaques DDoS de toute taille et de tout type. Le mode Under Attack effectue des contrôles de sécurité supplémentaires pour aider à atténuer les attaques DDoS de couche 7. Les utilisateurs validés accèdent à votre site Web et le trafic suspect est bloqué. Apprenez comment activer le mode Under Attack ici .
Activer la protection DDoS pour l'infrastructure réseau : si l'infrastructure réseau de votre organisation (couche 3/4) est exposée à Internet, envisagez d'adopter Cloudflare Magic Transit pour étendre la protection Cloudflare que vous obtenez pour vos actifs Web à l'ensemble de votre infrastructure IP.
Activer les alertes DDoS : si vous avez souscrit un forfait payant Cloudflare, vous pouvez être averti immédiatement en cas d'attaque sur votre propriété Internet protégée par Cloudflare. Cliquez ici pour activer les alertes DDoS depuis votre tableau de bord.

Plus de peur que de mal

Le fonctionnement de l’attaque décrit par le CERT est le suivant : les victimes reçoivent tout d’abord un e-mail des auteurs, qui se présentent comme faisant partie d’un groupe de cybercriminels connu (Lazarus, Carbanak, Silence, Fancy Bear ou encore Armada Collective.) Ils indiquent ensuite à la victime que celle-ci va être ciblée par des attaques Ddos et demandent une rançon (de 20 bitcoins dans l’exemple donné par le CERT-FR) et prétendent être capables de mener des attaques atteignant le volume de 2 Terabits par seconde. Pour encourager les victimes à payer, ces e-mails sont suivis « d’attaques DdoS de démonstration qui a pour cible l’infrastructure back-end, les API ou encore les serveurs DNS de la victime », afin de provoquer des perturbations de service.

Comme l’explique le CERT, ces menaces sont à relativiser : l’Anssi explique ainsi n’avoir constaté aucune attaque dont la volumétrie a dépassé les 200 gigabits par seconde, soit une attaque conséquente, mais qui reste dans la moyenne des attaques DdoS constatées ces derniers mois. Aucune attaque de grande ampleur n’a été détectée suivant les paiements ou non des rançons, selon l’Anssi. « Ces menaces s’apparentent à une escroquerie, dans la mesure où aucune de celles observées n’a été mise à exécution et donc suivie d’action en cas de non-paiem ent », ajoute l’agence, qui précise que les attaquants ne seraient de toute façon pas en mesure de différencier les victimes ayant payé la rançon de ceux n’ayant pas payé. « En effet, le bitcoin

Publicité
assure l’anonymat des transactions, et une seule adresse bitcoin est réutilisée dans plusieurs courriels destinés à des cibles différentes. »

L’utilisation de cette adresse bitcoin unique a néanmoins permis à l’agence de constater que, par le biais de cette campagne d'e-mails, les escrocs ont réussi à amasser plusieurs milliers de dollars auprès des victimes.

Fear, uncertainty and DdoS

Cette campagne avait déjà été identifiée dans le courant de l’année 2019 et l'e-mail de menace et la méthodologie employée était déjà décrite par la société Akamai en fin d’année dernière. Une vague de menaces de ce type a été détectée à la fin du mois d’août 2020, signalée notamment par le FBI américain, et des groupes employant cette méthodologie ont notamment perturbé le fonctionnement de la bourse néo-zélandaise.

Le ou les groupes à l’origine des attaques tentent de se faire passer pour d’autres groupes connus et de profiter de leur réputation pour récupérer des rançons. Une tactique connue et employée par de nombreux groupes depuis maintenant plusieurs années : CloudFlare alertait déjà sur ce type d'e-mails malveillant en 2016, indiquant que des attaquants tentaient de se faire passer pour le collectif Armada dans le but d’extorquer des bitcoins à des victimes un peu trop crédules.

Dans certains cas, les noms des groupes évoqués par les attaquants ne sont absolument pas associés à des campagnes d’attaques DdoS : le groupe Silence est par exemple spécialisé dans les logiciels malveillants bancaires, tout comme le groupe Carbanak. Les groupes Fancy Bear ou Lazarus sont eux des groupes associés à des Etats (la Russie et la Corée du Nord) et leurs activités sont généralement plus sophistiquées que des attaques DdoS. On peut néanmoins rappeler que le collectif Armada s’était spécialisé dans les attaques DdoS doublées de demandes de rançon. Mais ce groupe, actif en 2015, est silencieux depuis plusieurs années.

L’Anssi conseille évidemment de ne pas payer la rançon, le contraire aurait été étonnant. Dans ce cas précis, le paiement de la rançon ne changera rien, étant donné que les attaquants comptent avant tout sur la peur pour extorquer de l’argent, et ne disposent pas des ressources nécessaires pour mener à bien leurs attaques. On peut également rappeler la mésaventure vécue par Protonmail en 2015 : ciblés par le collectif Armada, le service d'e-mail sécurisé avait accepté sous la contrainte de payer la rançon et l’attaque avait pourtant continué. Dans tous les cas de figure, difficile donc de se convaincre que le paiement d’une rançon changera quoi que ce soit.

Publicité
Ne partez pas sans partager :

Vous êtes sur whatsapp,intégrez et recevez nos articles depuis nos groupes disponible sur le whatsapp

🚨DOINGBUZZ ACTUALITE NEW Pour offres d'emploi 👉🏾 -🇨🇲 Cameroun -🇨🇲 Cameroun  -🇨🇲 Cameroun  groupe emploi whatsapp doingbuzz

Cliquer ici pour les autres groupes👆



Plus de news

Cameroun: Un Patron De Presse Accusé Par Une Jeune Femme De Tentative D’abus Sexuel

20/06/2021

Cameroun: un...

Publicité Publicité Après avoir appris qu’une vidéo...
Eco : La Date Du Lancement De La Nouvelle Monnaie Unique Ouest-Africaine Est Enfin Connue

20/06/2021

Eco :...

Publicité Publicité Un groupe de quinze pays...
Les Émirats Arabes Unis Suspendent L’entrée Des Passagers De Trois Pays Africains

20/06/2021

Les Émirats...

Publicité Publicité Les Emirats arabes unis (EAU)...
Côte D’ivoire-Exclusif/ Gbagbo Abandonne L’église Évangélique

20/06/2021

Côte d’Ivoire-Exclusif/...

Publicité Publicité Laurent Gbagbo a effectué sa...
Usa: Un Célèbre Pilote Se Tue En Tentant De Battre Un Record Du Monde (Vidéo)

20/06/2021

USA: Un...

Publicité Publicité Un célèbre pilote se tue....
Cedeao : Le Lancement De L'Eco Prévu Pour 2027

20/06/2021

CEDEAO :...

Publicité Publicité   Le lancement de l'Eco...
L'Ancien Médecin De Trump Doute De La Santé Mentale De Joe Biden

20/06/2021

L’ancien médecin...

Publicité Publicité   Le représentant Ronny Jackson,...
Grave Accident Au Cameroun ( Vidéo Très Sensible)

20/06/2021

Grave accident...

Publicité Publicité Publicité   Selon une source...
Gabon : Quand Pascaline Bongo Parle De Son Amant Boy Marley

20/06/2021

Gabon :...

Publicité Publicité Une liaison qui a été...
Retour De Gbagbo : Ouattara Manque L’occasion De Faire Un Grand Pas Vers La Réconciliation Nationale

20/06/2021

Retour de...

Publicité Publicité Laurent Gbagbo est rentré en...
Nigeria : Un Policier Tué Et 80 Élèves Kidnappés Dans Une École

19/06/2021

Nigeria :...

Publicité Publicité   Des assaillants armés ont...
Une Journaliste Américaine Défie Vladimir Poutine : &Quot;De Quoi Avez-Vous Peur Monsieur Le Président ? &Quot;

19/06/2021

Une journaliste...

Publicité Publicité Ce mercredi 16 juin 2021,...
Indice Mondial De La Paix : Voici Les 10 Pays Les Moins Pacifiques D’afrique En 2021

19/06/2021

Indice mondial...

Publicité Publicité Indice mondial de la paix...
J.o Tokyo/ Les Organisateurs Vont Se Rencontrer Pour Décider De La Présence De Spectateurs

19/06/2021

J.O Tokyo/...

Publicité Publicité Le Comité d’organisation des Jeux...
5 Choses À Savoir Sur Nady Bamba, La Seconde Femme De Laurent Gbagbo

19/06/2021

5 choses...

Publicité Publicité   Nady Bamba est la...
En Colère, Un Avocat De Guillaume Soro Tacle Le Procureur Adou Richard

19/06/2021

En colère,...

Publicité Publicité Très remonté, un des avocats...
Nady Bamba À Propos De Simone Gbagbo : « Elle Salue Laurent Gbagbo Et Elle Part »

19/06/2021

Nady Bamba...

Publicité Publicité Publicité C'est une vidéo choc....
Côte D’ivoire/Masa : Prof Yacouba Konaté Quitte La Maison Avec 42 Mois D’arriérés De Salaire

19/06/2021

Côte d’Ivoire/MASA...

Publicité Publicité M. Hervé Yapi, logisticien de...
Burkina Faso : Des Biens Et Comptes Bancaires Du Groupe Bolloré Saisis

19/06/2021

Burkina Faso...

Publicité Publicité   La bataille judiciaire entre...
Mame Mbaye Niang : &Quot;Je N'Aiderai Pas Macky Sall S'Il Brigue Un 3È Mandat&Quot;

19/06/2021

Mame Mbaye...

Publicité Publicité Un possible 3è mandat de...
Publicité
Publicité

Qu'est-ce qu'une attaque par rançon-DDoS ?
Une attaque DDoS (RDDoS) par rançon se produit lorsqu'une partie malveillante tente d'extorquer de l'argent à un individu ou à une organisation en les menaçant d'une attaque par déni de service distribué (DDoS).

La plupart des attaques DDoS par rançon commencent par une demande de rançon envoyée à la cible dans laquelle l'attaquant menace l'entreprise ou l'organisation. Dans certains cas, un attaquant peut effectuer une petite attaque de démonstration pour illustrer leur gravité avant d'envoyer une demande de rançon.

Que faire si vous recevez une menace ?
Ne paniquez pas et ne payez pas la rançon : payer la rançon ne fait qu'encourager les mauvais acteurs - et rien ne garantit qu'ils n'attaqueront pas votre réseau maintenant ou plus tard.
Avertissez les forces de l'ordre locales : elles vous demanderont probablement également une copie de la lettre de rançon que vous avez reçue.
Comment pouvez-vous vous préparer maintenant à cette menace ?
Activer le mode sous attaque lors d'une attaque DDoS active : toutes les propriétés Internet proxy par Cloudflare sont déjà protégées contre les attaques DDoS de toute taille et de tout type. Le mode Under Attack effectue des contrôles de sécurité supplémentaires pour aider à atténuer les attaques DDoS de couche 7. Les utilisateurs validés accèdent à votre site Web et le trafic suspect est bloqué. Apprenez comment activer le mode Under Attack ici .
Activer la protection DDoS pour l'infrastructure réseau : si l'infrastructure réseau de votre organisation (couche 3/4) est exposée à Internet, envisagez d'adopter Cloudflare Magic Transit pour étendre la protection Cloudflare que vous obtenez pour vos actifs Web à l'ensemble de votre infrastructure IP.
Activer les alertes DDoS : si vous avez souscrit un forfait payant Cloudflare, vous pouvez être averti immédiatement en cas d'attaque sur votre propriété Internet protégée par Cloudflare. Cliquez ici pour activer les alertes DDoS depuis votre tableau de bord.

Plus de peur que de mal

Le fonctionnement de l’attaque décrit par le CERT est le suivant : les victimes reçoivent tout d’abord un e-mail des auteurs, qui se présentent comme faisant partie d’un groupe de cybercriminels connu (Lazarus, Carbanak, Silence, Fancy Bear ou encore Armada Collective.) Ils indiquent ensuite à la victime que celle-ci va être ciblée par des attaques Ddos et demandent une rançon (de 20 bitcoins dans l’exemple donné par le CERT-FR) et prétendent être capables de mener des attaques atteignant le volume de 2 Terabits par seconde. Pour encourager les victimes à payer, ces e-mails sont suivis « d’attaques DdoS de démonstration qui a pour cible l’infrastructure back-end, les API ou encore les serveurs DNS de la victime », afin de provoquer des perturbations de service.

Comme l’explique le CERT, ces menaces sont à relativiser : l’Anssi explique ainsi n’avoir constaté aucune attaque dont la volumétrie a dépassé les 200 gigabits par seconde, soit une attaque conséquente, mais qui reste dans la moyenne des attaques DdoS constatées ces derniers mois. Aucune attaque de grande ampleur n’a été détectée suivant les paiements ou non des rançons, selon l’Anssi. « Ces menaces s’apparentent à une escroquerie, dans la mesure où aucune de celles observées n’a été mise à exécution et donc suivie d’action en cas de non-paiem ent », ajoute l’agence, qui précise que les attaquants ne seraient de toute façon pas en mesure de différencier les victimes ayant payé la rançon de ceux n’ayant pas payé. « En effet, le bitcoin

Publicité
assure l’anonymat des transactions, et une seule adresse bitcoin est réutilisée dans plusieurs courriels destinés à des cibles différentes. »

L’utilisation de cette adresse bitcoin unique a néanmoins permis à l’agence de constater que, par le biais de cette campagne d'e-mails, les escrocs ont réussi à amasser plusieurs milliers de dollars auprès des victimes.

Fear, uncertainty and DdoS

Cette campagne avait déjà été identifiée dans le courant de l’année 2019 et l'e-mail de menace et la méthodologie employée était déjà décrite par la société Akamai en fin d’année dernière. Une vague de menaces de ce type a été détectée à la fin du mois d’août 2020, signalée notamment par le FBI américain, et des groupes employant cette méthodologie ont notamment perturbé le fonctionnement de la bourse néo-zélandaise.

Le ou les groupes à l’origine des attaques tentent de se faire passer pour d’autres groupes connus et de profiter de leur réputation pour récupérer des rançons. Une tactique connue et employée par de nombreux groupes depuis maintenant plusieurs années : CloudFlare alertait déjà sur ce type d'e-mails malveillant en 2016, indiquant que des attaquants tentaient de se faire passer pour le collectif Armada dans le but d’extorquer des bitcoins à des victimes un peu trop crédules.

Dans certains cas, les noms des groupes évoqués par les attaquants ne sont absolument pas associés à des campagnes d’attaques DdoS : le groupe Silence est par exemple spécialisé dans les logiciels malveillants bancaires, tout comme le groupe Carbanak. Les groupes Fancy Bear ou Lazarus sont eux des groupes associés à des Etats (la Russie et la Corée du Nord) et leurs activités sont généralement plus sophistiquées que des attaques DdoS. On peut néanmoins rappeler que le collectif Armada s’était spécialisé dans les attaques DdoS doublées de demandes de rançon. Mais ce groupe, actif en 2015, est silencieux depuis plusieurs années.

L’Anssi conseille évidemment de ne pas payer la rançon, le contraire aurait été étonnant. Dans ce cas précis, le paiement de la rançon ne changera rien, étant donné que les attaquants comptent avant tout sur la peur pour extorquer de l’argent, et ne disposent pas des ressources nécessaires pour mener à bien leurs attaques. On peut également rappeler la mésaventure vécue par Protonmail en 2015 : ciblés par le collectif Armada, le service d'e-mail sécurisé avait accepté sous la contrainte de payer la rançon et l’attaque avait pourtant continué. Dans tous les cas de figure, difficile donc de se convaincre que le paiement d’une rançon changera quoi que ce soit.

Publicité
Ne partez pas sans partager :

Laisser votre commentaire