Un an après l’invasion de l’Ukraine par la Russie, la guerre continue, y compris sa composante numérique. Une composante en constante évolution qui a des répercussions sur l’avenir de la cybersécurité dans le monde. Car selon des experts en cybersécurité de Google, la guerre en Ukraine a notamment bouleversé l’écosystème des cybercriminels d’Europe de l’Est et modifié la manière dont se déroulent les attaques par ransomware.
« Les rançongiciels continuent d’être lucratifs, mais les hackers à la recherche d’argent ne sont pas à l’abri des développements géopolitiques », indique un nouveau rapport, compilé par le groupe d’analyse des menaces (TAG) de Google, Mandiant (la société de cybersécurité qui fait désormais partie de Google Cloud) et Google Trust & Safety.
« Les lignes s’estompent entre les attaquants avec des motivations financières et ceux soutenus par des gouvernements en Europe de l’Est », indique le rapport, « les hackers modifiant leur ciblage pour s’aligner sur les intérêts géopolitiques régionaux, et les attaquants soutenus des états adoptant certaines tactiques et certains services associés aux acteurs à motivation financière. »
À mesure que les alliances changent, il n’est plus tabou pour les cybercriminels de s’en prendre aux cibles russes, note aussi le rapport. Selon les experts de Google, la guerre a également accéléré une tendance à la « spécialisation » dans l’écosystème des ransomwares, ce qui rend plus difficile l’identification des coupables.
En outre, le rapport note que « la guerre en Ukraine a également été définie par ce que nous attendions – mais n’avons pas vu ». Plus précisément, il n’y a pas eu de recrudescence des attaques contre les infrastructures critiques, ce qui est surprenant compte tenu de la banalité des menaces de ransomware.
Divisions politiques
Selon le rapport de Google, la guerre a divisé le réseau cybercriminel d’Europe de l’Est. Certains groupes ont déclaré des allégeances politiques, tandis que d’autres ont suivi des lignes géopolitiques et que d’autres groupes de ransomware importants ont fermé leurs portes.
Par exemple, au début de la guerre, le groupe ransomware Conti a déclaré son soutien à la Russie et a menacé de frapper les infrastructures critiques des nations qui agiraient contre la Russie. Cela a entraîné des divisions au sein du groupe, selon des fuites de ses communications internes et de son code source, indique Google. Plutôt que d’intensifier ses attaques comme il le menaçait, le groupe s’est arrêté.
En outre, le logiciel malveillant voleur Raccoon a suspendu ses activités après que son développeur présumé a fui l’invasion de l’Ukraine. Il a été arrêté aux Pays-Bas et attend d’être extradé vers les États-Unis.
La guerre a également encouragé les cybercriminels à s’attaquer aux cibles russes.
« Avant février 2022, les créateurs de ransomware utilisaient des techniques pour éviter de cibler la Communauté des États indépendants, notamment en codant en dur les noms de pays et en vérifiant la langue du système », indique le rapport.
« Après l’invasion, le groupe hacktiviste NB65 a utilisé les fuites de code source de Conti pour cibler les organisations russes. NB65 revendique des liens avec le collectif de hacktivistes Anonymous, qui a mené une campagne ‘#OpRussia’, comprenant plusieurs opérations de hack-and-leak contre des organisations russes telles que la Banque centrale russe. »
Pendant ce temps, la soi-disant « Armée informatique ukrainienne » a collaboré avec le ministère de la défense ukrainien pour défendre l’Ukraine et cibler les infrastructures et les sites Web russes.
Changement de tactique
La guerre a également entraîné un changement de tactique parmi les groupes de ransomware. Tout d’abord, les campagnes de ransomware associées à des attaquants soutenus par le gouvernement utilisent des tactiques généralement associées à des pirates à motivation financière – et vice versa.
En outre, les attaquants de ransomware se spécialisent de plus en plus dans une partie de la « chaîne d’attaque », selon le rapport, tout en travaillant avec d’autres « partenaires commerciaux ».
Au cours de la guerre, les attaquants ont également expérimenté davantage de nouvelles techniques, comme de nouveaux canaux de distribution et des formats de fichiers non conventionnels. Les attaquants motivés par des raisons financières n’hésitent pas non plus à emprunter les techniques efficaces d’autres criminels, ce qui rend plus difficile la détermination de leurs auteurs.
Des représailles non réalisées
Le rapport de Google examine les raisons pour lesquelles il n’y a pas eu d’augmentation des attaques de ransomware contre les infrastructures critiques pendant la guerre, « comme on aurait pu s’y attendre après les déclarations faites au début du conflit et la vague précédente d’attaques de ce type en 2021 ».
L’une des théories avancées par Google est que la réponse américaine à l’attaque de Colonial Pipeline en 2021, et l’arrestation subséquente en Russie des membres du gang de ransomware REvil, ont pu dissuader les gangs de ransomware motivés par des raisons financières.
Google postule également que les sanctions contre la Russie peuvent avoir eu un impact sur la volonté des organisations occidentales de payer des rançons.
Outre la perturbation de l’écosystème criminel d’Europe de l’Est, le rapport analyse deux autres aspects du front de guerre numérique : Tout d’abord, il note que « les attaquants soutenus par le gouvernement russe se sont engagés dans un effort agressif, sur plusieurs fronts, pour obtenir un avantage décisif en temps de guerre dans le cyberespace, avec des résultats souvent mitigés. »
En 2022, la Russie a augmenté le ciblage des utilisateurs en Ukraine de 250 % par rapport à 2020, tandis que le ciblage des utilisateurs dans les pays de l’OTAN a augmenté de plus de 300 %.
Le rapport analyse également l’utilisation robuste par la Russie des « opérations d’information », qui comprennent tout, des médias ouvertement soutenus par l’État aux plateformes et comptes secrets, pour façonner la perception publique de la guerre.
Au final, le rapport conclut : « Il est clair que la cybernétique jouera désormais un rôle essentiel dans les futurs conflits armés, en complément des formes traditionnelles de guerre. » Le rapport, selon ses auteurs, vise à servir « d’appel à l’action alors que nous nous préparons à d’éventuels conflits futurs dans le monde entier. »
Source : « ZDNet.com »
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));