Mise en garde contre l’extorsion de fonds sous la menace d’attaques DDoS

Les menaces d’attaques en déni de services distribué associées à des demandes de rançon (RDDoS) auxquelles des entreprises françaises sont confrontées depuis août 2020 semblent s’inscrire dans une campagne d’extorsion ayant débuté aux alentours d’octobre 2019. La visée lucrative de cette campagne est indéniable, bien qu’un objectif secondaire de déstabilisation puisse être envisagé, au vu par exemple du ciblage d’infrastructures de marché dont la continuité d’activité est critique.

Phénomène observé : la réception de courriels de menace

Dans les menaces récentes qui ont pu être observées par le CERT-FR, la cible reçoit un courriel dans lequel l’émetteur prétend appartenir à l’un des groupes d’attaquants ou APT, tels que APT28, APT29, Lazarus, Armada Collective, Carbanak, Anonymous ou encore Silence. Il informe son destinataire que son site Internet ou son réseau informatique va être visé par la prochaine attaque DDoS du groupe, à partir d’une date qui lui est précisée.

Pour renforcer l’effet d’intimidation, le groupe d’attaquants réalise une attaque DDoS de démonstration qui a pour cible l’infrastructure back end, les API ou encore les serveurs DNS de la victime, pouvant engendrer des difficultés plus importantes que lors des DDoS classiques sur des sites Internet.
Bien que les attaquants prétendent pouvoir atteindre des pics à 2 térabits par seconde, il n’a été signalé à l’ANSSI aucune volumétrie supérieure à 150 gigabits par seconde lors des attaques DDoS de démonstration. En sources ouvertes, à la date d’écriture de ce document, cette volumétrie n’excède pas 200 gigabits.

Exemple d’un courriel observé:

We are the Lazarus and we have chosen [VICTIME] as target for our next DDoS attack.

Please perform a google search for « Lazarus Group » to have a look at some of our previous work.

Also, perform a search for « NZX » or « New Zealand Stock Exchange » in the news. You don’t want to be like them, do you?

Your whole network will be subject to a DDoS attack starting in 7 days at [REDACTED] next week. (This is not a hoax, and to prove it right now we will start a small attack on a few of your unimportant IPs in [REDACTED] range that will last for 30 minutes. It will not be heavy attack, and will not cause you any damage, so don’t worry at this moment.)

There’s no counter measure to this, because we will be attacking your IPs directly and our attacks are extremely powerful (peak over 2 Tbps)

What does this mean? This means that your websites and other connected services will be unavailable for everyone. Please also note that this will severely damage your reputation among your customers.

You will lose Internet access in your offices too, probably.

How you can stop this? We will refrain from attacking your servers for a small fee. The current fee is 20 Bitcoin (BTC). It’s a small price for what will happen when your whole network goes down. Is it worth it? You decide!

We are giving you time to buy Bitcoin if you don’t have it already.

If you don’t pay attack will start, fee to stop will increase to 30 BTC and will increase by 10 Bitcoin for each day after deadline that passed without payment.

Please send Bitcoin to the following Bitcoin address: [REDACTED]

Once you have paid we will automatically get informed that it was your payment.

Please note that you have to make payment before the deadline or the attack WILL start!

What if you don’t pay?

If you decide not to pay, we will start the attack on the indicated date and uphold it until you do. We will completely destroy your reputation and make sure your services will remain offline until you pay.

Do not reply to this email, don’t try to reason or negotiate, we will not read any replies.Once you have paid we won’t start the attack and you will never hear from us again. Please note that no one will find out that you have complied.

À noter toutefois que ce courriel n’est qu’un exemple et, bien que représentatif d’un certain nombre de menaces d’extorsion récentes, il ne l’est pas forcément pour l’ensemble des menaces rencontrées.

Une menace qui ne sera pas suivie de faits

Ce phénomène, également détecté par d’autres organismes, est le fait d’un groupe, a priori d’ordre cybercriminel. Ces menaces s’apparentent à une escroquerie dans la mesure où aucune de celles observées n’a été mise à exécution et donc suivie d’action en cas de non-paiement.

De plus, les attaquants n’auraient pas la possibilité de distinguer les victimes ayant versé la rançon de celles ayant ignoré l’extorsion. En effet, le Bitcoin assure l’anonymat des transactions et une seule adresse Bitcoin est réutilisée dans plusieurs courriels destinés à des cibles différentes.

Cette pratique aurait toutefois permis aux escrocs d’amasser plusieurs centaines de milliers de dollars auprès des victimes du chantage, bien que les menaces n’aient pas été mises à exécution à ce jour sur les campagnes dont l’ANSSI a eu connaissance.

Recommandations du CERT-FR

De manière générale, le CERT-FR recommande de ne pas céder au chantage et donc de ne pas verser la rançon exigée, quelle que soit la méthode d’extorsion utilisée par l’attaquant (DDoS, rançongiciel…). Plus spécifiquement, en ce qui concerne les menaces d’attaques DDoS, les raisons sont les suivantes :

  • rien ne garantit que le versement de la rançon permette effectivement d’éviter ou de stopper une attaque ;
  • rien ne prouve que les escrocs ont effectivement les capacités à mettre leur menace à exécution, d’autant plus si aucune attaque n’a été menée au moment de la demande de rançon ;
  • cela encourage le développement de ce type d’escroquerie, en particulier envers les victimes qui ont accepté de payer par le passé et qui accepteront potentiellement encore si une nouvelle menace se présente ;
  • cela contribue à financer les groupes à l’origine de l’escroquerie et ainsi à renforcer leurs infrastructures pour exécuter des attaques de plus grande ampleur par la suite.

De même, le CERT-FR déconseille de répondre aux courriels de menace et aux éventuelles relances qui suivraient. En effet, cela confirmerait la validité de l’adresse de messagerie ciblée et pourrait inciter les auteurs à renforcer la pression exercée sur leur victime.

La cible d’une telle menace pourra en revanche se préparer à l’éventualité d’une attaque imminente en mettant en œuvre les mesures adéquates pour se protéger. Un guide disponible sur le site Internet de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) rappelle les mesures à prendre pour se protéger et réagir face à une attaque DDoS (cf. Documentation).

Documentation

En ce qui concerne les aspects DDoS traités dans ce bulletin, vous pouvez consulter le guide « Comprendre et anticiper les attaques DDoS » de l’ANSSI qui permettra de répondre à cette problématique : http://www.ssi.gouv.fr/uploads/2015/03/NP_Guide_DDoS.pdf

 

Rappel des avis émis

Dans la période du 07 au 13 septembre 2020, le CERT-FR a émis les publications suivantes :