Observatoire des cyberattaques en Suisse

Qui sont ces organisations criminelles

Ces groupes criminels essentiellement basés en Russie reproduisent la pratique mafieuse de l’extorsion.

Structurées comme des entreprises, ils fonctionnent de manière hiérarchisée avec des équipes d’experts de haut niveau.

Une direction et des managers supervisent les différents départements : le développement des outils d’attaque permettant la prise de contrôle de l’infrastructure de la victime, le chiffrement et l’exfiltration des données; la gestion de l’infrastructure et de la plateforme nécessaires pour mener des attaques à grande échelle; la gestion du réseau d’affiliés, des plus petits groupes qui mènent les attaques et touchent des commissions sur les rançons obtenues; la gestion des contacts avec les victimes et la négociation des rançons; le blanchiment des cryptomonnaies utilisées pour payer les rançons.

Le poids de la réputation dans le rapport de force

Ironiquement, ces organisations aiment faire passer leurs activités d’extorsion comme des prestations de service de cybersécurité à payer a posteriori pour avoir identifié des failles de sécurité majeures chez leurs victimes. Elles savent que leur réputation leur permettra d’être associées à d’importantes capacités de nuisance et à effrayer leurs fuctures victimes. Les acteurs affiliés qui vont mener les attaques sont sélectionnés, formés et soumis à des règles. Certains groupes se refusent à viser des hôpitaux, d’autres en font leur spécialité. Un élément essentiel concernant la réputation dans cette activité repose sur le fait que lorsque les victimes répondent aux exigences, les engagements concernant le déchiffrement des systèmes et la suppression des accès aux données publiées sont respectés.

Etat des groupes actifs en 2023

Le site RansomLook recense actuellement 155 groupes actifs ces dernières années. Certains sont particulièrement actifs actuellement, comme LOCKBIT 3.0 qui est le leader incontesté depuis plusieurs années. CLOP^-LEAKS mène actuellement une campagne de type “supply chain” qui démultiplie les nombre de victimes en remontant la chaîne des clients et partenaires commerciaux, est la plus importante référencée à ce jour. D’autres acteurs majeurs sont très actifs depuis de nombreuses années, de nouveaux venus émergent régulièrement, certains groupes ont été dissouts pour refaire surface sous un autre nom, d’autres ont disparu complètement, notamment suite à des opérations de police coordonnées au niveau international (FBI, EUROPOL).

Quels sont les différents schémas d'attaque

Le schéma des attaques a beaucoup évolué ces dernières années.

Paralysie des systèmes par le chiffrement des données

Le chiffrement de l’ensemble des systèmes est une pratique ancienne destinée à paralyser totalement ou en partie les activités opérationnelles de la victime, pouvant l’amener jusqu’à devoir revenir au papier et au stylo. L’impact peut être considérables en termes financiers, de réputation envers les clients et les partenaires commerciaux, et souvent un traumatise pour la direction et les employés. Si la victime paie le montant de la rançon négocié, l’outil et la clé de chiffrement nécessaires à la restauration des systèmes lui sont fournis dès la réception du paiement en cryptomonnaie.

Publication des données volées

Avec le développement de la culture de la sauvegarde pour la restauration des systèmes, un autre moyen de pression a été exploité, l’exfiltration des données de la victime avant leur chiffrement. Si la victime ne répond pas à la demande de rançon, ou si dans le cadre d’une négociation le montant proposé par la victime n’est pas considéré comme acceptable, les informations sur l’attaque sont publiées sur le site du groupe sur le darknet avec des éléments de preuve et un ultimatum avant la publication de données volées, généralement un échantillon dans un premier temps.

A la fin de l’ultimatum, qui peut être ajourné en fonction des négociations en cours, l’ensemble des données est publié et restera accessible jusqu’à la dissolution de l’organisation criminelle. Ces attaques ont pris une nouvelle dimension avec l’émergence de l’exploitation des victimes collatérales, clients et prestataires. Ces attaques de type “supply chain” permettent de démultiplier considérablement le nombre de victimes.

Nouveaux schémas d’attaque

Certains groupes pratiquent de nouveaux schémas d’attaque avec des étapes supplémentaires comme des attaques par déni de service (DDoS) pour paralyser temporairement la disponibilité des systèmes de la victime, et/ou menacer d’entrer directement en contact avec certains de ses clients ou partenaires.

Récemment, certains groupes évoluent vers un nouveau schéma en passant directement au chantage sur les données volées sans procéder au chiffrement des systèmes. Les données peuvent être plus facilement exfiltrées sans attirer l’attention et la menace de la publication de ces données est jugée suffisante pour obtenir les rançons.

Montant des rançons

Les montants des rançons sont fixés au cas par cas, en fonction des ressources de la victime sur la base des informations disponibles : chiffre d’affaire, nombre d’employé, nature et valeur des données volées. Ces montants peuvent ensuite négociés pour arriver un accord dans l’intérêt des deux parties.

Quelles sont les attaques répertoriées sur ce site

Les attaques répertoriées sur ce site ne concernent que des victimes qui n’ont pas répondu à des ultimatum.

La situation va rester figée en fonction des conséquences annoncées pour le non respect des différents ultimatum. La page mentionnant l’attaque peut rester publiée sur le darknet avec des éléments prouvant l’attaque et la nature des données. Sur cette page peuvent figurer les liens pour télécharger un échantillon ou la totalité des données.

De nombreuses attaques ont fait l’objet d’une couverture médiatiques dont les liens sont mentionnés. Certaines attaques dont il n’existe plus de trace sur le darknet sont illustrées par des archives.

Quelle est la situation en Suisse en 2023

La Suisse est un pays particulièrement lucratif

A l’origine les campagnes d’attaque étaient menée en mode “spray and pray”, des envois massifs d’emails piégés qui permettaient d’acquérir des victimes en fonction de la loi du nombre. Ces attaques sont devenues moins fréquentes, leur standardisation les rendant plus facilement repérables.

Désormais les attaques sont plus ciblées. Une stratégie est mise en place pour exploiter le potentiel offert par des opportunités au cas par cas. Ce type d’attaques de type “hands on keyboard” passe par des actions ciblées exécutées en partie en mode manuel par des opérateurs contre des victimes ayant été sélectionnées en fonction de leur vulnérabilité et du potentiel financier qu’elles représentent.

En fonction de ces critères, la Suisse représente un nombre important de victimes de choix qui la rend particulièrement attractive et exposée, y compris pour les organisations de petite taille.

Les groupes les plus actifs en termes de victimes suisses en 2023 :

Le plus actif est en toute logique le groupe leader LOCKBIT 3.0, dont le mode d’opération industrialisé permet d’atteindre des victimes d’une manière à la fois ciblée, vers un pays par exemple, et opportuniste en fonction d’une vulnérabilité facilement exploitable. Ces attaques visent des organisations de tous les secteurs d’activité et de toutes tailles, c’est la raison pour laquelle on trouve des informations et des données de nombreuses organisations de petite taille sur le site du groupe sur le darknet.
Le groupe PLAY s’est illustré ces derniers mois en réalisant des attaques plus ciblées contre des entreprises et des organisations publiques d’une certaine taille avec des gros volumes de données volés.
Le groupe CLOP^-LEAKS est en train de mener une campagne à l’échelle internationale qui compte à ce jour plus de 1’000 victimes. 9 victimes Suisse ont été signalées mais seul 5 ont été rendues publiques à l’heure actuelle.

Quelles sont les réactions face à ces attaques

Force est de constater qu’il existe un grand décalage entre les entreprises ayant indiqué avoir été victime d’une attaque et les éléments de preuve de ces attaques disponibles sur le darknet.

Les entreprises

En regard des conséquences en termes financiers, de réputation, d’éventuelles conséquences légales et du temps nécessaire à restaurer les systèmes en cas de chiffrement, l’entreprise a tout intérêt à négocier une rançon raisonnable. De même, le groupe criminel à tout intérêt à encaisser une somme d’argent pour clore l’attaque et passer à d’autres victimes. Le montant initial de la rançon peut ainsi être significativement réduit, d’autant plus si un expert dans ce type de négociation est mandaté.

La majorité des attaques se concluent de cette façon, le montant de la rançon pouvant même dans certains cas faire partie de la couverture d’une assurance, une option qui coûte la plupart des cas moins cher que les frais de restauration des systèmes et des opérations.

Malheureusement certaines petites entreprises ne disposent pas des ressources financières nécessaires pour arriver à un tel accord, elles serviront à rester affichées sur le tableaux de chasse du groupe de cybercriminels. Dans certains cas, il est jugé que les données ne justifient pas le paiement d’une rançon parce qu’elles sont trop anciennes ou qu’elles ne sont pas véritablement sensibles.

Le cas des organisations publiques

Les organisations publiques sont reconnues comme étant particulièrement vulnérables. Avec notre système fédéral, les communes et les villes sont livrées à elles-même avec des ressources qui leur permettent difficilement de se protéger correctement. La Suisse reste très en retard en matière de cybersécurité. La nomination d’un responsable fédéral pour la cybersécurité ne se fera qu’au 1er janvier 2024. Les cantons, qui disposent eux de ressources permettant d’avoir d’excellent niveaux de protection, explorent des moyens de mutualiser ces ressources pour en faire bénéficier les communes.

Ces organisations sont aussi des victimes de choix car elles possèdent de grandes quantités de données personnelles. En conséquence elles sont tenues de communiquer de manière transparente et d’informer toute personne dont des données ont pu être dérobées. Il paraît impossible d’envisager de payer une rançon dans ces cas, les conséquences d’une révélation de cette dissimulation seraient catastrophiques. Toutes les attaques visant les organisations publiques sur ce site ont résulté en la publication de l’ensemble des données. L’intérêt pour les groupes criminels peut résider dans le fait que ces attaques vont être plus médiatisées et contribuer ainsi à nourrir un tableau de chasse de plus en plus effrayant pour leurs futures victimes.

Quelle sont les conséquences de la nouvelle loi sur la protection des données

Malgré le fait que de nombreuses années ont été nécessaires pour promulguer cette nouvelle loi, il existe encore de nombreux sujets pour lesquels l’application de la loi doit encore être précisée.

Obligation d’annonce

L’obligation d’annonce concerne certaines catégories d’entreprises et d’organisations. Les entreprises dont les activités sont liées à des infrastructures critiques, tels que les producteurs et les réseaux de distribution d’électricité ou d’essence, ainsi que les organisations disposant de données personnelles sensibles (assurances, organisations actives dans le domaine de la santé), ont une obligation d’annonce auprès du Centre national pour la cybersécurité (NCSC) à défaut de laquelle une amende pouvant aller jusqu’à 100’000 francs peut être infligée. Cette obligation d’annonce est destinée à ce que le NCSC soit au fait des attaques critiques en cours et puisse accompagner la victime dans la mise en place de mesures permettant d’y faire face si elle ne dispose pas des moyens de le faire par elle-même.

Concernant la responsabilité de la protection des données personnelles

C’est un des domaines qui engendre le plus d’interprétations. Selon la loi, les organisations doivent prendre toute les mesures nécessaires pour assurer la protection des données personnelles en leur possession. Le préposé fédéral à la protection des données et à la transparence (PFPDT) peut diligenter une enquête pour déterminer la gravité des manquements concernant les mesures de protection. Contrairement au RGPD qui a plus de 10 ans de pratique dans ce type d’enquête menant régulièrement à de fortes amendes, la manière dont ces manquements seront sanctionnés en Suisse n’est pas explicitée à l’heure actuelle.

Concernant le paiement des rançons

Rien n’interdit à des organisations privées de procéder au paiement d’une rançon, dès le moment où les conditions de l’obligation d’annonce ont été respectées. Une disposition pour ce type d’interdiction est en cours d’étude aux Etats-Unis mais elle rencontre de fortes résistances des lobbys. A contrario, le ministre de l’économie français a récemment encouragé les sociétés d’assurances à couvrir les montants des rançons afin d’éviter que des entreprises déjà fragilisées par le contexte économique ne soient exposées à des faillites consécutives aux conséquences de ce type d’attaque.

People Who Trust

Ces groupes criminels essentiellement basés en Russie reproduisent la pratique mafieuse de l’extorsion.

Le schéma des attaques a beaucoup évolué ces dernières années.

Les attaques répertoriées sur ce site ne concernent que des victimes qui n’ont pas répondu à des ultimatum.

La Suisse est un pays particulièrement lucratif

Force est de constater qu’il existe un grand décalage entre les entreprises ayant indiqué avoir été victime d’une attaque et les éléments de preuve de ces attaques disponibles sur le darknet.

Malgré le fait que de nombreuses années ont été nécessaires pour promulguer cette nouvelle loi, il existe encore de nombreux sujets pour lesquels l’application de la loi doit encore être précisée.

Répartition des victimes par secteurs d’activité

Répartition des victimes par nombre d’employés

Attaques répertoriées

Groupes

Statut des attaques

Secteurs d’activité

Nombre d’employés