Les cyberattaquants expérimentent leurs derniers ransomwares sur des entreprises en Afrique, en Asie et en Amérique du Sud avant de cibler les pays plus riches qui disposent de méthodes de sécurité plus sophistiquées.
Les pirates ont adopté une « stratégie » d’infiltration des systèmes dans les pays en développement avant de se déplacer vers des cibles de plus grande valeur, comme en Amérique du Nord et en Europe, selon un rapport publié mercredi par la société de cybersécurité Performanta.
« Les adversaires utilisent les pays en développement comme une plate-forme sur laquelle ils peuvent tester leurs programmes malveillants avant que les pays les plus ingénieux ne soient ciblés », a déclaré la société à Banking Risk and Regulator, un service de FT Specialist.
Les cibles récentes des ransomwares incluent une banque sénégalaise, une société de services financiers au Chili, un cabinet fiscal en Colombie et une agence économique gouvernementale en Argentine, qui ont été touchées dans le cadre des essais de gangs dans les pays en développement, selon les données.
Cette étude intervient alors que les cyberattaques ont presque doublé depuis avant la pandémie de COVID-19, exacerbées dans les pays en développement par une numérisation rapide, de bons réseaux Internet et une protection « inadéquate », a déclaré le FMI ce mois-ci.
Les pertes signalées par les entreprises du monde entier dues aux cyberincidents depuis 2020 ont grimpé à près de 28 milliards de dollars, avec des milliards de dossiers volés ou compromis, a déclaré le FMI, ajoutant que les coûts totaux seraient probablement « considérablement plus élevés ».
La tactique du « terrain de préparation » a fonctionné parce que les entreprises de ces pays étaient « moins conscientes de la cybersécurité », a déclaré Nadir Izrael, directeur de la technologie du groupe de cybersécurité Armis.
« Disons que vous allez attaquer les banques », a déclaré Izrael. « Vous testeriez un nouveau paquet militaire dans un pays comme le Sénégal ou le Brésil, où il y a suffisamment de banques qui pourraient être similaires, ou de branches internationales d’entreprises similaires à celles que vous voudriez essayer d’attaquer. »
Medusa, un cyber-gang qui « transforme les fichiers en pierre » en volant et en cryptant les données des entreprises, a commencé à attaquer des entreprises en 2023 en Afrique du Sud, au Sénégal et aux Tonga, selon le rapport Performanta. Medusa était responsable de 99 violations aux États-Unis, au Royaume-Uni, au Canada, en Italie et en France l’année dernière.
Les équipes de sécurité recevaient des alertes concernant une attaque imminente, mais l’utilisateur moyen n’en prenait conscience que lorsqu’il était verrouillé hors de son système informatique, a déclaré Hanah-Marie Darley, directrice de la recherche sur les menaces de la société de cybersécurité Darktrace.
Un fichier, avec pour objet !!!READ_ME_MEDUSA!!!.txt., demanderait à l’utilisateur de se connecter au dark web et d’entamer la négociation d’une rançon avec le « service client » du gang. Si les victimes refusent, les cyberattaquants publient les données volées.
Les sociétés de cybersécurité surveillent le dark web à la recherche d’informations, puis mettent en place des « pots de miel » (de faux sites Web imitant des cibles attrayantes) dans les pays en développement pour détecter les attaques expérimentales à un stade précoce.
Lorsqu’un groupe de cyberattaquants a commencé cette année à discuter d’une nouvelle vulnérabilité, nommée CVE-2024-29201, ils « ont spécifiquement ciblé quelques [exposed servers] dans les pays du tiers monde pour tester la fiabilité de l’exploit », a déclaré Izrael d’Armis, dont les analystes surveillaient les conversations du gang sur le dark web.
Les attaques contre les honeypots d’Armis, 11 jours plus tard, ont confirmé les soupçons : le gang n’a touché que l’Asie du Sud-Est, avant d’utiliser ultérieurement ces techniques plus largement.
Sherrod DeGrippo, directeur de la stratégie de renseignement sur les menaces chez Microsoft, a cependant déclaré que certains cyber-gangs étaient trop « opportunistes » pour tester de nouvelles attaques de manière aussi méthodique.
Au contraire, les pays en développement ont connu une activité accrue, car les pirates informatiques des pays les plus pauvres ont pu acheter des ransomwares bon marché et organiser leurs propres petites attaques, a déclaré DeGrippo.
Des gangs tels que Medusa ont commencé à vendre leurs inventions à des pirates informatiques moins sophistiqués, a déclaré Darley, directeur de Darktrace. Ces pirates informatiques à plus petite échelle ne savaient souvent pas comment fonctionnait cette technologie et l’utilisaient contre des cibles plus faciles, a-t-elle déclaré.
Tous les attaquants prenant le temps de « mettre leurs techniques en sandbox » – d’expérimenter dans des cyberzones relativement non surveillées dans les pays en développement – étaient plus sophistiqués, a-t-elle ajouté.
Teresa Walsh, responsable du renseignement au sein de l’organisme mondial de renseignement sur les cybermenaces FS-ISAC, a déclaré que les gangs travailleraient dans l’environnement local pour « perfectionner » les méthodes d’attaque, a-t-elle déclaré, puis « exporter » leurs plans vers des pays où la même langue pourrait être parlée. : Du Brésil au Portugal, par exemple.
La vitesse d’adoption du numérique en Afrique « dépasse le développement de mesures de cybersécurité robustes, et la sensibilisation générale aux cybermenaces est faible », a déclaré Brendan Kotze, cyberanalyste chez Performanta.
« Cela crée un fossé inquiétant et grandissant dans les défenses que les cybercriminels exploitent », a-t-il ajouté.
Ellesheva Kissin est journaliste chez Banking Risk and Regulator, un service de FT Specialist.
© 2024 The Financial Times Ltd. Tous droits réservés. Ne pas être redistribué, copié ou modifié de quelque manière que ce soit.