Le principe est simple : plutôt que d’y aller avec des gros sabots et un marteau pilon, l’attaquant utilise Ryuk pour infiltrer tranquillement une organisation par le biais classique d’un malware enchâssé dans une pièce jointe. Une fois le malware déposé et le contact établi, l’attaquant récolte tranquillement tout un tas d’informations techniques utiles : les @IP des contrôleurs de domaine, du serveur AD, la cartographie réseau, la position des pare-feu et j’en passe.
Puis vient le moment de l’attaque, en gros l’attaquant met le SI hors service (cryptolocker, usurpation de compte à privilège, destruction des sauvegardes, etc.) et finit par demander un gros chèque pour redonner la main à la DSI de la malheureuse entreprise (parce qu’au final cela se termine toujours par des histoires de sous).
Ce qui fait assez peur, c’est que d’une part le système semble être assez industrialisé et qu’ensuite on a manifestement affaire à des gens qui ont du temps à revendre, ce qui les rend d’autant plus dangereux. Bon évidemment le doigt est encore pointé vers la Russie – tout le monde sait que jamais ô grand jamais les EU n’espionnent ni ne rançonnent -, ce qui en même temps doit faire une belle jambe aux victimes putatives.
Parmi les rares trucs qui me font cauchemarder, à côté des endives, d’Hannibal Lecter et des cryptolockers, il y a çà.