Les logiciels de rançon figurent parmi les formes les plus dévastatrices de cybercriminalité. La valeur croissante des données a incité les criminels à les exploiter pour des gains financiers considérables en exigeant des rançons. Ces attaques sont devenues d’une fréquence alarmante, certains groupes de pirates recourant même à la complicité de personnes travaillant au sein des entreprises visées.
Les entreprises qui souhaitent se prémunir contre ces menaces doivent désormais considérer les risques internes au même titre que les menaces externes. La prochaine attaque pourrait bien être orchestrée de l’intérieur.
Pourquoi les organisations de rançongiciels recherchent-elles des complices internes ?
Solliciter la coopération d’employés pour commettre des actes illégaux peut sembler risqué. Toutefois, les pirates considèrent souvent cette approche comme un moyen d’accroître leurs chances de succès.
Les menaces internes sont souvent considérées comme plus importantes que les menaces externes, car les employés ont déjà un accès direct à des informations sensibles. De plus, de nombreuses entreprises négligent ces risques. Par conséquent, les employés peuvent être d’une aide précieuse pour les groupes de rançongiciels s’ils sont incités à coopérer. Au lieu de devoir franchir des systèmes de sécurité complexes, les cybercriminels peuvent simplement demander à un employé d’installer un logiciel malveillant sur les ordinateurs de l’entreprise.
Il devient de plus en plus difficile de pirater les entreprises lorsque leurs défenses sont robustes. En revanche, la manipulation psychologique des individus reste relativement simple. Recruter une personne interne augmente considérablement la probabilité de succès d’une attaque par logiciel de rançon, et donc de générer des gains financiers importants.
Méthodes de recrutement de complices internes
Pour empêcher les groupes de rançongiciels de recruter des complices internes, il est essentiel de comprendre leurs tactiques. Voici quelques-unes des méthodes les plus courantes :
Ingénierie sociale
Le hameçonnage, ou « phishing », et d’autres formes d’ingénierie sociale sont responsables d’un nombre important d’attaques par rançongiciel. Il est en effet plus facile de recruter un complice si ce dernier n’est pas conscient de la nature de son implication. Les groupes de rançongiciels peuvent ainsi inciter des employés à installer des logiciels malveillants sans qu’ils ne s’en rendent compte.
Ces attaques se produisent généralement par e-mail ou SMS, contenant souvent un lien ou une pièce jointe qui semble légitime. Lorsque l’employé clique sur l’élément malveillant, un logiciel de rançon s’installe sur son appareil de travail. Cela permet aux groupes de rançongiciels d’accéder au système sans avoir à convaincre l’employé de commettre un acte illégal en connaissance de cause.
Contact direct
Les groupes de rançongiciels ont également adopté une approche plus directe ces dernières années. Selon Bravura Sécurité, 65 % des professionnels de l’informatique ont affirmé avoir été directement contactés, ainsi que leurs employés, par des criminels cherchant à les impliquer dans une attaque par rançongiciel. Ce chiffre représente une augmentation de 17 % par rapport à 2021.
Ces sollicitations se font généralement par e-mail, mais certains groupes de pirates utilisent également le téléphone ou les réseaux sociaux. La plupart du temps, ils tentent de convaincre les employés de coopérer en leur offrant des pots-de-vin. Ces organisations proposent des sommes considérables, en espèces, en cryptomonnaie ou une partie de la rançon, en échange de l’installation d’un logiciel malveillant.
Recrutement participatif
Les experts en sécurité ont également constaté que certains groupes de rançongiciels tentent de recourir au recrutement participatif pour leurs attaques. Les cybercriminels publient sur des forums publics ou des plateformes de communication cryptées comme Telegram, en appelant à la coopération de personnes ayant un accès privilégié. Ils peuvent même organiser des sondages publics afin de déterminer qui cibler ou quelles données divulguer.
Ces messages publics touchent un public plus large, ce qui augmente les chances de recruter des complices internes. Selon Comparitech, le montant moyen d’une rançon dépasse les 2 millions de dollars. Les groupes de rançongiciels sont donc en mesure de rémunérer de nombreux complices à partir des bénéfices d’une attaque réussie.
Exemples d’employés ayant aidé des groupes de rançongiciels
Des attaques de ce type ont ciblé certaines des plus grandes entreprises au monde. En 2021, l’agence AP a révélé qu’un cybercriminel avait offert 500 000 $ à un employé de Tesla pour qu’il installe un logiciel de rançon sur les ordinateurs de l’entreprise. L’employé en question a signalé l’incident au lieu d’accepter la somme, ce qui démontre l’ampleur de ces menaces.
D’autres entreprises ont eu moins de chance. En 2019, un ancien employé mécontent de la société de support technique Asurion a reçu 50 000 $ par jour de son ancien employeur après avoir volé des données appartenant à des millions de clients (selon Bitdefender). Les forces de l’ordre ont réussi à arrêter l’ancien employé, mais cela n’a pas empêché l’entreprise de dépenser des milliers de dollars en paiements de rançons.
Bien que ces attaques soient devenues plus courantes, elles ne sont pas un phénomène nouveau. Selon le FBI, un ingénieur de Boeing a volé des centaines de milliers de documents entre la fin des années 1970 et le début des années 2000 pour le compte des agences de renseignement chinoises. Bien que cet incident ne concerne pas directement les logiciels de rançon, il illustre l’importance des menaces internes qui peuvent être exploitées par des acteurs externes.
Comment prévenir les menaces de rançongiciels provenant de l’intérieur ?
Compte tenu des risques importants, les entreprises doivent redoubler d’efforts pour empêcher les employés de collaborer avec les groupes de rançongiciels. Voici trois mesures essentielles à mettre en œuvre :
Instaurer une culture d’entreprise positive
L’une des mesures les plus importantes consiste à s’assurer que les employés sont satisfaits de leur emploi. Plus un employé est insatisfait, plus il est susceptible d’accepter un pot-de-vin d’un groupe de rançongiciels et d’aider à cibler son entreprise par vengeance. Créer un environnement de travail plus positif permet de minimiser cette menace.
Une rémunération compétitive est un facteur important de satisfaction des employés, mais ce n’est pas le seul. Un rapport Gallup montre que seulement 28 % des employés considèrent le salaire et les avantages sociaux comme étant le facteur le plus important pour rendre leur lieu de travail agréable, tandis que 41 % citent des problèmes d’engagement et de culture. Collaborer avec les employés pour s’assurer qu’ils se sentent respectés, en sécurité et soutenus est essentiel.
Former les employés
Il est également indispensable de former les employés à détecter les techniques d’ingénierie sociale. De nombreuses attaques par rançongiciel impliquant des employés résultent d’incidents accidentels, tels que le fait de cliquer sur un lien de hameçonnage. Pour prévenir de tels incidents, il est essentiel d’enseigner aux employés les éléments suspects à surveiller.
Les fautes d’orthographe, les messages urgents et inhabituels, ainsi que les situations qui semblent trop belles pour être vraies sont des indicateurs fréquents de hameçonnage. De manière générale, les employés ne doivent pas cliquer sur des messages non sollicités, ni y répondre, et ne jamais divulguer d’informations sensibles par e-mail.
Mettre en œuvre une sécurité Zero-Trust
La sécurité Zero-Trust est une autre étape essentielle pour prévenir les menaces de rançongiciels provenant de l’intérieur. L’approche Zero-Trust considère chaque entité comme potentiellement hostile et exige une vérification à chaque étape avant d’accorder l’accès à quoi que ce soit ou à qui que ce soit. Cette approche limite également l’accès, afin que chaque employé ne puisse voir que les ressources nécessaires à son travail.
Bien que ces modèles de sécurité soient plus complexes à mettre en œuvre que les approches traditionnelles, ils constituent la meilleure protection contre les menaces internes. Étant donné que même les employés autorisés n’ont accès qu’à une quantité limitée de ressources, il devient plus difficile de rentabiliser financièrement une attaque par rançongiciel en recrutant des complices internes.
Les menaces de rançongiciels internes sont gérables
La tendance des groupes de rançongiciels à recruter des complices internes n’est pas un phénomène nouveau, mais elle est en pleine croissance. Il est important de s’en préoccuper, mais cela ne signifie pas qu’il est impossible de s’en défendre.
Les menaces de rançongiciels provenant de l’intérieur soulignent l’importance de limiter la confiance en matière de cybersécurité. Les menaces peuvent venir de toutes parts, y compris des employés considérés comme fiables. Il est donc préférable de renforcer la sécurité au maximum.