Une cyberattaque coordonnée sans précédent a frappé fin octobre plusieurs fournisseurs de services de voix sur IP (VoIP) basés au Royaume-Uni. Ce type d’attaque par déni de service distribué (DDoS) fonctionne en inondant un site Web de trafic Internet dans le but de le mettre hors ligne, ou de le rendre inaccessible. La campagne malveillante récente visait les fournisseurs de VoIP qui offrent des services téléphoniques aux entreprises britanniques, y compris les services d’urgence.
Tribune – Pierre-Louis Lussan, Country manager France & Directeur South-West Europe Netwrix, revient sur cette attaque et partage le commentaire suivant :
« REvil, une plateforme de “ransomware-as-a-service” qui propose également des capacités DDoS, est soupçonnée d’être à l’origine de ces attaques selon les indices existants. Il est cependant difficile de nommer pour le moment avec précision le groupe APT (Advanced Persistent Threat) responsable de cette campagne.
Le but et la motivation de telles attaques sont souvent variés, mais il s’agit avant tout d’un objectif financier. Par conséquent, les attaques de ransomware cherchent à nuire en priorité aux processus commerciaux de la victime qui seront les plus dommageables. Par exemple, les cybercriminels peuvent chercher à stopper la production ou, comme dans l’attaque récente au Royaume-Uni, inonder le réseau pour perturber les activités des opérateurs de télécommunications. Les motivations secondaires des hackers demeurent la démonstration de capacités et techniques sophistiquées, en particulier pour certains groupes de cybercriminalité liés à des États qui génèrent des profits à partir de ce type d’opérations.
Il existe deux manières de se défendre contre les attaques similaires à celle ayant visé les fournisseurs de VoIP, c’est-à-dire par inondation d’UDP (User Datagram Protocol). L’une consiste à limiter les réponses du serveur à ce faux trafic, mais cela peut affecter le trafic légitime. La deuxième méthode tend à filtrer le trafic DDoS aux bords du réseau ; ce qui n’est pas non plus aisé car les filtres doivent être ajustés constamment et en temps réel pour suivre les différents cycles d’une attaque.
Les attaques sur VoIP affectant les opérateurs de télécommunications dans le monde ont considérablement augmenté depuis septembre 2021 ; un signe supplémentaire des nombreux types d’extorsion des attaques de ransomware qui existent. À ses débuts, le rançongiciel était en effet une tactique de délit de fuite, dans lequel un système infiltré était chiffré aussi rapidement que possible. Ces trois dernières années, nous avons assisté à une évolution, avec l’émergence de menaces de publication et la libération de données exfiltrées du réseau de la cible. La victime est désormais plus disposée à payer pour éviter de telles divulgations. Dernièrement, les attaquants passent davantage de temps à l’intérieur du réseau, pour découvrir et compromettre les données les plus vitales, et donc convaincre in fine la victime de payer rapidement une rançon. »