Les attaques par déni de service distribué (DDoS) et les logiciels d’extorsion numérique (ransomware) sont deux méthodes de cyber-attaques bien rôdées. Toutefois, nous avons assisté recemment à l’apparition d’une nouvelle technique combinant des éléments issus de ces deux modes opératoires : les attaques d’extorsion par déni de service distribué (DDoS).

Au vu des attaques que nous avons suivies jusqu’à présent, le processus utilisé est quasi professionnel : dans un premier temps, la cible reçoit un email où les agresseurs se présentent, allant parfois jusqu’à indiquer des liens vers certains articles consacrés à leurs activités et à leurs tactiques d’extorsion !

L’email indique ensuite que faute de verser une certaine somme (généralement de l’ordre de 40 Bitcoins, mais le montant peut en atteindre plusieurs centaines), une attaque DDoS de grande envergure sera lancée. Il arrive dans certains cas que le courriel soit reçu après que l’attaque ait commencé, indiquant qu’elle cessera uniquement lorsque la rançon sera versée, ou que sa gravité sera allégée dès qu’une partie de la somme aura été réglée.

Nous nous sommes intéressés à certaines attaques qui démarrent lentement avant de monter en régime. DD4BC, la société à l’origine de ces extorsions, affirme être capable de lancer des attaques dont la bande passante peut atteindre 400/500 Gbits/s. Des attaques d’une telle puissance sont rarissimes, mais on sait qu’elles peuvent durer jusqu’à 18 heures, ce qui est évidemment plus que suffisant pour provoquer des dégâts importants dans n’importe quelle organisation.

À ce stade, il semble qu’aucun secteur en particulier ne soit spécifiquement visé, mais il ressort un thème général. Toutes les cibles identifiées jusqu’à présent exécutent des transactions en ligne, qu’il s’agisse d’institutions financières ou sociétés de change, par exemple.

Nous nous sommes notamment rendu compte que l’extorsion proprement dite pourrait en fait constitue une diversion : en clair, pendant que le client se concentre sur l’agression et les dangers qu’elle induit, les pirates ne visent en fait qu’une application locale, en utilisant un vecteur d’attaque différent. En d’autres termes, les pirates pourraient mener des offensives au niveau des applications locales en utilisant différents moyens pour pénétrer dans l’application proprement dite. L’objectif ne serait donc pas de perturber le bon fonctionnement d’un site ou d’un service -voire de le mettre HS- mais d’accéder à une application en vue d'exfiltrer des informations de toutes sortes : crédentiels, informations financières, personnelles ou autres.

On peut comprendre que certaines cibles estiment que l’e-mail reçu est indésirable et l’ignorent, mais ce n’est pas nécessairement la meilleure chose à faire. Certes, personne ne conseille de payer la rançon. Les cibles ont donc le choix d’atténuer l’attaque, même si les e-mails reçus indiquent en toutes lettres qu’il est inutile de tenter quoi que ce soit contre une attaque par déni de service DDoS. Et si les protagonistes prétendent que l’attaque est trop puissante, même pour les meilleures technologies, ce n’est tout simplement pas vrai.

Car il est possible d'atténuer ce type d’agression en combinant des technologies anti-DDoS déployées in-situ et sur le cloud. Une approche hybride permet en effet à une entreprise d’atténuer des attaques DDoS lancées de l’extérieur de leur infrastructure, ainsi que de faire face à des attaques initiées au niveau local contre la couche applicative.

Une attaque DDoS dont la bande passante atteint 500 Gbits/s ne peut être stoppée qu’au moyen de technologies basées sur le cloud, tandis que les attaques menées localement aux niveaux du réseau et des applications (ce qui est le cas lorsque l’attaque DDoS s’avère être une diversion) doivent être contrées par des technologies déployées in-situ. En conclusion, utiliser l’une ou l’autre de ces méthodes ne suffit pas et une approche hybride est indispensable pour protéger votre entreprise contre des cybercriminels dont l’arsenal est en constant développement.