BKA Identifies REvil Leaders Behind 130 German Ransomware Attacks
Qu'une identification puisse faire
L'identification par le Bundeskriminalamt (BKA) des personnes derrière le groupe REvil marque une étape concrète dans la lutte contre les ransomwares en Allemagne. Selon le communiqué officiel du BKA, les enquêtes ont permis d'établir des liens entre la direction présumée du groupe et une campagne responsable d'environ 130 attaques visant des entreprises et institutions allemandes². Des médias internationaux rapportent la même information et situent par ailleurs l'activité de certains comptes frauduleux dès juin 2019 sur des forums cybercriminels¹ ³.
Ces révélations n'effacent pas le traumatisme subi par les victimes, mais elles offrent deux avantages pratiques: d'une part un appui factuel pour les poursuites et les demandes d'entraide internationale, d'autre part un point d'appui pour affiner les mesures de protection opérationnelle et juridique que doivent mettre en place les organisations.
Un modèle d'affaires redoutable
Comment cela fonctionne-t-il?
REvil s'est structuré selon un modèle que l'on appelle RaaS, Ransomware-as-a-Service. Ce modèle sépare la création et la maintenance du logiciel malveillant de son déploiement opérationnel. Concrètement:
- Un noyau développe le logiciel de chiffrement, gère l'infrastructure de paiement et les services d'assistance aux affiliés.
- Des affiliés plus ou moins techniques recrutent des accès, compromettent des réseaux et déploient le ransomware.
- Les gains sont partagés entre opérateurs et affiliés selon des modalités contractuelles internes.
Ce schéma fait du ransomware une activité « scalable »: même des acteurs sans compétences de développement peuvent lancer des attaques en achetant ou en louant l'accès à un ransomware performant. Le modèle augmente le nombre d'opérations et la diversification des cibles, rendant la menace plus diffuse et plus difficile à prévenir.
Le cycle d'une attaque RaaS suit des étapes bien établies:
- Reconnaissance: recherche d'accès vulnérables et collecte d'informations sur l'organisation ciblée.
- Compromission: exploitation d'un point d'entrée (phishing, RDP exposé, vulnérabilité non corrigée).
- Escalade et mouvement latéral: prise d'identifiants et élargissement de l'accès aux ressources critiques.
- Exfiltration: copie de données sensibles en vue d'extorsion.
- Chiffrement et extorsion: verrouillage des systèmes et demande de rançon, souvent accompagnée de menaces de publication des données.
Traiter chaque phase comme une chaîne d'attaque permet d'identifier des points d'interruption opérationnels: contrôles d'accès, détection précoce, segmentation et sauvegardes testées.
Vecteurs d'attaque : où se cachent les dangers?
Les campagnes attribuées à REvil exploitent des vecteurs récurrents qu'il faut surveiller en priorité. Parmi eux:
- RDP non sécurisé: des accès RDP exposés à Internet, sans MFA ou avec mots de passe faibles, restent une porte d'entrée fréquente.
- Mauvaise configuration des VPN: des configurations obsolètes ou mal paramétrées offrent un accès interne trop large.
- Phishing: les campagnes d'hameçonnage continuent d'être le premier vecteur initial pour obtenir des identifiants ou déployer un premier accès.
Des rapports d'enquête et les communiqués des forces de l'ordre indiquent que des vulnérabilités non corrigées sur des services exposés ou des erreurs de configuration ont été systématiquement exploitées² ³. La vigilance sur ces points diminue significativement le risque d'intrusion.
L'impact sur le business
Coûts et répercussions
Les conséquences financières et opérationnelles d'une attaque de ransomware varient suivant la taille de l'entité touchée et la criticité des systèmes. On distingue plusieurs catégories de coûts:
- Coûts directs: montants exigés par les attaquants, allant de quelques milliers à plusieurs millions d'euros selon le cas.
- Coûts indirects: perte d'activité pendant l'indisponibilité des systèmes, restauration et remplacement d'infrastructures, et dépenses en cyber-assurance et expertise forensique.
- Coûts immatériels: atteinte à la réputation, perte de confiance des clients et partenaires, et potentiels impacts sur la valeur boursière pour les entreprises cotées.
Des études sectorielles estiment que le coût global d'une attaque de ransomware peut atteindre plusieurs millions d'euros, en cumulant rançon, interruption d'activité et remédiation. Le coût total peut continuer de croître longtemps après l'incident si des mesures juridiques et réglementaires viennent s'ajouter.
Risques réglementaires et impacts en cascade
En cas d'exfiltration, des obligations de notification s'appliquent: signaler l'incident aux autorités compétentes et avertir les personnes concernées peut générer des coûts supplémentaires et des sanctions potentielles si des manquements sont constatés. Le RGPD impose des délais et des critères de notification qui doivent être intégrés au plan de réponse.
Au-delà de l'entreprise attaquée, la compromission d'un acteur peut mettre en danger des partenaires et des fournisseurs, créant un effet domino le long de la chaîne d'approvisionnement. Un incident majeur chez un fournisseur critique peut interrompre des services ou des livraisons pour de nombreux clients.
Que faire maintenant?
Mesures immédiates
Si vous gérez une infrastructure exposée ou recevez une alerte inhabituelle, commencez par des actions pragmatiques et mesurables:
- Restreindre les accès: fermer ou limiter immédiatement les accès RDP exposés et toute connexion VPN non strictement nécessaire. Imposer l'usage du MFA sur tous les accès distants.
- Patch management: appliquer les correctifs critiques sur les services exposés et prioriser les systèmes accessibles depuis Internet.
- Détection et surveillance: déployer ou renforcer des solutions EDR et des outils de détection des mouvements latéraux et des exfiltrations. Surveiller les logs pour connexions anormales, élévation de privilèges et transfert SMB.
- Préservation des preuves: en cas d'incident, isoler les systèmes compromis sans effacer les traces, et faire appel à une équipe forensique pour collecte et analyse.
Dans une perspective longue
Pour réduire la probabilité et l'impact d'une attaque future, structurez votre plan d'action sur des mesures durables:
- Renforcer l'authentification: MFA obligatoire, gestion stricte des comptes à privilèges et principe du moindre privilège.
- Sauvegardes immuables: sauvegardes hors-ligne ou inaltérables, avec procédures de restauration régulièrement testées.
- Segmentation réseau: limiter les mouvements latéraux en segmentant les environnements et en controlant les accès entre zones sensibles.
- Culture et formation: sensibiliser les utilisateurs au phishing et aux bonnes pratiques opérationnelles; former les équipes techniques aux scénarios d'attaque réels.
Collaboration avec les autorités
Signaler rapidement une attaque aux forces de l'ordre augmente les chances d'identification des auteurs et de récupération d'éléments. Le partage d'indicateurs de compromission et d'artefacts techniques avec les autorités et avec des partenaires de confiance est souvent déterminant pour une réponse coordonnée² ³.
Renforcer la résilience exige d'aligner processus métier, sécurité opérationnelle et cadre juridique. La récente identification des responsables présumés de REvil par le BKA donne un signal utile: la menace peut être traquée, mais la première responsabilité reste entre les mains des organisations qui doivent durcir leurs accès et préparer des réponses rapides et testées.
