Qu’est-ce qu’une attaque par rançon-DDoS ?
Une attaque DDoS (RDDoS) par rançon se produit lorsqu’une partie malveillante tente d’extorquer de l’argent à un individu ou à une organisation en les menaçant d’une attaque par déni de service distribué (DDoS).
La plupart des attaques DDoS par rançon commencent par une demande de rançon envoyée à la cible dans laquelle l’attaquant menace l’entreprise ou l’organisation. Dans certains cas, un attaquant peut effectuer une petite attaque de démonstration pour illustrer leur gravité avant d’envoyer une demande de rançon.
Que faire si vous recevez une menace ?
Ne paniquez pas et ne payez pas la rançon : payer la rançon ne fait qu’encourager les mauvais acteurs – et rien ne garantit qu’ils n’attaqueront pas votre réseau maintenant ou plus tard.
Avertissez les forces de l’ordre locales : elles vous demanderont probablement également une copie de la lettre de rançon que vous avez reçue.
Comment pouvez-vous vous préparer maintenant à cette menace ?
Activer le mode sous attaque lors d’une attaque DDoS active : toutes les propriétés Internet proxy par Cloudflare sont déjà protégées contre les attaques DDoS de toute taille et de tout type. Le mode Under Attack effectue des contrôles de sécurité supplémentaires pour aider à atténuer les attaques DDoS de couche 7. Les utilisateurs validés accèdent à votre site Web et le trafic suspect est bloqué. Apprenez comment activer le mode Under Attack ici .
Activer la protection DDoS pour l’infrastructure réseau : si l’infrastructure réseau de votre organisation (couche 3/4) est exposée à Internet, envisagez d’adopter Cloudflare Magic Transit pour étendre la protection Cloudflare que vous obtenez pour vos actifs Web à l’ensemble de votre infrastructure IP.
Activer les alertes DDoS : si vous avez souscrit un forfait payant Cloudflare, vous pouvez être averti immédiatement en cas d’attaque sur votre propriété Internet protégée par Cloudflare. Cliquez ici pour activer les alertes DDoS depuis votre tableau de bord.
Plus de peur que de mal
Le fonctionnement de l’attaque décrit par le CERT est le suivant : les victimes reçoivent tout d’abord un e-mail des auteurs, qui se présentent comme faisant partie d’un groupe de cybercriminels connu (Lazarus, Carbanak, Silence, Fancy Bear ou encore Armada Collective.) Ils indiquent ensuite à la victime que celle-ci va être ciblée par des attaques Ddos et demandent une rançon (de 20 bitcoins dans l’exemple donné par le CERT-FR) et prétendent être capables de mener des attaques atteignant le volume de 2 Terabits par seconde. Pour encourager les victimes à payer, ces e-mails sont suivis « d’attaques DdoS de démonstration qui a pour cible l’infrastructure back-end, les API ou encore les serveurs DNS de la victime », afin de provoquer des perturbations de service.
🚀Annonces pour Nos Partenaires !
Créez votre site web professionnel à un prix imbattable avec 3Vision-Group.
Découvrez l'OffreCommandez une application mobile sur mesure et transformez vos idées en réalité !
Commandez MaintenantComme l’explique le CERT, ces menaces sont à relativiser : l’Anssi explique ainsi n’avoir constaté aucune attaque dont la volumétrie a dépassé les 200 gigabits par seconde, soit une attaque conséquente, mais qui reste dans la moyenne des attaques DdoS constatées ces derniers mois. Aucune attaque de grande ampleur n’a été détectée suivant les paiements ou non des rançons, selon l’Anssi. « Ces menaces s’apparentent à une escroquerie, dans la mesure où aucune de celles observées n’a été mise à exécution et donc suivie d’action en cas de non-paiement », ajoute l’agence, qui précise que les attaquants ne seraient de toute façon pas en mesure de différencier les victimes ayant payé la rançon de ceux n’ayant pas payé. « En effet, le bitcoin assure l’anonymat des transactions, et une seule adresse bitcoin est réutilisée dans plusieurs courriels destinés à des cibles différentes. »
L’utilisation de cette adresse bitcoin unique a néanmoins permis à l’agence de constater que, par le biais de cette campagne d’e-mails, les escrocs ont réussi à amasser plusieurs milliers de dollars auprès des victimes.
Fear, uncertainty and DdoS
Cette campagne avait déjà été identifiée dans le courant de l’année 2019 et l’e-mail de menace et la méthodologie employée était déjà décrite par la société Akamai en fin d’année dernière. Une vague de menaces de ce type a été détectée à la fin du mois d’août 2020, signalée notamment par le FBI américain, et des groupes employant cette méthodologie ont notamment perturbé le fonctionnement de la bourse néo-zélandaise.
Le ou les groupes à l’origine des attaques tentent de se faire passer pour d’autres groupes connus et de profiter de leur réputation pour récupérer des rançons. Une tactique connue et employée par de nombreux groupes depuis maintenant plusieurs années : CloudFlare alertait déjà sur ce type d’e-mails malveillant en 2016, indiquant que des attaquants tentaient de se faire passer pour le collectif Armada dans le but d’extorquer des bitcoins à des victimes un peu trop crédules.
Dans certains cas, les noms des groupes évoqués par les attaquants ne sont absolument pas associés à des campagnes d’attaques DdoS : le groupe Silence est par exemple spécialisé dans les logiciels malveillants bancaires, tout comme le groupe Carbanak. Les groupes Fancy Bear ou Lazarus sont eux des groupes associés à des Etats (la Russie et la Corée du Nord) et leurs activités sont généralement plus sophistiquées que des attaques DdoS. On peut néanmoins rappeler que le collectif Armada s’était spécialisé dans les attaques DdoS doublées de demandes de rançon. Mais ce groupe, actif en 2015, est silencieux depuis plusieurs années.
L’Anssi conseille évidemment de ne pas payer la rançon, le contraire aurait été étonnant. Dans ce cas précis, le paiement de la rançon ne changera rien, étant donné que les attaquants comptent avant tout sur la peur pour extorquer de l’argent, et ne disposent pas des ressources nécessaires pour mener à bien leurs attaques. On peut également rappeler la mésaventure vécue par Protonmail en 2015 : ciblés par le collectif Armada, le service d’e-mail sécurisé avait accepté sous la contrainte de payer la rançon et l’attaque avait pourtant continué. Dans tous les cas de figure, difficile donc de se convaincre que le paiement d’une rançon changera quoi que ce soit.