Commentary on Political Economy

Saturday 15 May 2021

 

Qui sont les pirates qui ont frappé le système de santé irlandais avec un rançongiciel ?

Les opérateurs de rançongiciels sont par nature difficile à traquer pour les autorités, d’autant plus lorsque les attaques utilisant un même virus sont menées par plusieurs groupes de pirates différents.
Les opérateurs de rançongiciels sont par nature difficile à traquer pour les autorités, d’autant plus lorsque les attaques utilisant un même virus sont menées par plusieurs groupes de pirates différents. QUENTIN HUGON / « LE MONDE »

Le profil des pirates qui ont mis à l’arrêt une partie des réseaux informatiques du système de santé irlandais dans une attaque informatique, vendredi 15 mai, se précise. Selon le site spécialisé Bleeping Computer, qui s’est procuré une capture d’écran de la demande de rançon déposée par les pirates, les systèmes informatiques du Health Service Executive (HSE) ont été frappés par un logiciel malveillant bien connu sous le nom de Conti.

Vendredi, le HSE a été contraint d’arrêter l’ensemble de son système informatique en raison de cette cyberattaque. L’organisme a été frappé par un rançongiciel, un virus qui infecte les réseaux et chiffre l’intégralité des fichiers présents sur les ordinateurs, les rendant inopérants. Ces logiciels malveillants demandent ensuite une rançon à leur victime, promettant de débloquer les ordinateurs infectés en échange d’un paiement en bitcoins.

Un logiciel vendu à d’autres pirates

Selon les déclarations du directeur général du HSE, Paul Reid, et la demande de rançon révélée par Bleeping Computer, le service public de santé irlandais a été frappé par un des logiciels les plus virulents de la cybercriminalité, Conti, conçu par un groupe de cybercriminels baptisé du même nom et particulièrement actif depuis un an.

Conti est l’un des acteurs les plus importants du milieu restreint des opérateurs de rançongiciel, revendiquant sur son site 291 victimes. Il s’agit d’un « ransomware as a service », c’est-à-dire que les créateurs de ce logiciel malveillant le louent à d’autres cybercriminels, des « affiliés », qui l’utilisent ensuite eux-mêmes pour rançonner leurs victimes, et reversent une partie de leurs profits aux développeurs.

Comme beaucoup de groupes, Conti publie sur son site les données volées à ses victimes, pour accentuer la pression après une infection et forcer les entreprises et administrations touchées à payer la rançon. Samedi matin, Conti n’avait cependant pas encore fait mention du HSE sur son site, selon les constatations du Monde.

Les opérateurs de rançongiciels sont par nature difficiles à traquer pour les autorités, d’autant plus lorsque les attaques utilisant un même virus sont menées par plusieurs groupes de pirates différents. L’analyse de l’activité de Conti montre néanmoins que ce groupe et ses « affiliés » n’attaquent pas d’entreprises ou entités situées en Russie et dans certains pays d’Europe de l’Est, laissant penser que ces pirates opèrent depuis l’un de ces pays. Il s’agit d’une pratique courante, et de nombreux rançongiciels intègrent dans leur code une fonctionnalité empêchant le virus d’infecter un ordinateur russe, par exemple.

Des liens avec d’autres cybercriminels ?

Apparu en décembre 2019, Conti est vite devenu un acteur majeur de la cybercriminalité, récoltant plusieurs dizaines de millions de dollars en un an. Au premier trimestre de 2021, son rançongiciel était le deuxième plus virulent au monde, derrière le virus Sodinokibi, selon un rapport de l’entreprise spécialisée Coveware. Sur cette période, près de 10 % des infections recensées étaient dues à Conti. En France, le groupe criminel revendique déjà quatre victimes sur son site rien qu’en 2021.

Des experts soupçonnent l’existence de liens entre Conti et un autre poids lourd de la cybercriminalité : Ryuk. Il s’agit d’une souche de rançongiciel active depuis 2018, et qui a notamment fait des ravages aux Etats-Unis, frappant aussi bien des médias que des hôpitaux, des établissements de santé ou des administrations locales. En février dernier, c’est ce rançongiciel qui avait par exemple paralysé, en France, l’hôpital de Villefranche et l’Afnor.

Certains chercheurs en sécurité soupçonnent Conti de n’être qu’une nouvelle variante de Ryuk, conçue pour être distribuée et louée plus largement à d’autres cybercriminels. Dans un rapport publié en février, l’Agence nationale de sécurité des systèmes d’information avançait avec beaucoup de prudence sur ce sujet, suggérant que s’il est possible que ces deux logiciels aient été développés par les mêmes personnes, il se peut aussi que les liens entre Ryuk et Conti proviennent de groupes de pirates utilisant ces deux outils pour leurs attaques.

No comments:

Post a Comment