Connect with us

Technologie

Double extorsion ransomware attaques et comment les arrêter

Published

on


Ransomware est l’un des types les plus courants de cybermenace, ciblant une entreprise toutes les 14 secondes et coûtant 11,5 milliards de dollars en 2019 seulement. En règle générale, les pirates qui effectuent ces attaques vont violer un système pour voler des données et les supprimer si la victime ne paie pas une rançon.

Cependant, à la recherche d’augmenter les enjeux et de gagner encore plus d’argent de ransomware, les cybercriminels sont de plus en plus en utilisant une tactique qui devient connu comme double extorsion, par lequel ils non seulement crypter les données et exiger une rançon de la victime afin de retrouver l’accès, mais aussi menacer de le télécharger en ligne si leurs conditions ne sont pas remplies.

La montée de ransomware double extorsion va montrer que les cybercriminels sont en constante expansion de leur arsenal. Paolo Passeri, directeur du cyber-intelligence au sein de la société de logiciels Netskope, affirme que ces attaques sont devenues populaires parce qu’elles sont le moyen le plus simple pour les pirates de faire un profit.

Passeri dit: « Avec des attaques de double extorsion, même si une sauvegarde est disponible les attaquants peuvent mettre plus de pression sur la victime de payer la rançon. La pression accrue provient des conséquences graves potentielles d’une fuite de données, par exemple des dommages économiques et de réputation. Groupes comme REvil [aka Sodinokibi] sont encore plus créatifs – ils ne se contentent pas de divulguer les données, ils les monétisent en les mettant aux enchères sur le dark web et mettent encore plus de pression sur leurs victimes.

Lors de la conduite d’une double attaque ransomware extorsion, les pirates commencent à passer plus de temps sur la stratégie globale. Passeri avertit que les escrocs ne prennent plus une approche opportuniste, mais choisissent soigneusement leur cible et leur méthode d’attaque afin d’augmenter l’argent qu’ils gagnent à partir de rançons. Il explique que « les acteurs de la menace sélectionnent leurs victimes, en choisissant des organisations dont les entreprises peuvent être touchées par une fuite de données ».

Bien que le phishing lance est le principal moyen de distribuer ransomware double extorsion, Passeri dit cyber-criminels exploitent également les vulnérabilités dans les appareils locaux tels que les concentrateurs VPN. « Au cours des derniers mois (et c’est une tendance constante), presque toutes les principales technologies VPN ont subi de graves vulnérabilités qui ont été exploitées pour des attaques similaires », dit-il.

« C’est regrettable compte tenu de la situation actuelle du travail forcé à partir de chez eux où ces technologies d’accès à distance héritées jouent un rôle crucial dans la garantie de la continuité des activités pendant Covide-19. Ces systèmes sont directement exposés à Internet afin que les acteurs de la menace puissent les scanner et exploiter par la suite toute vulnérabilité découverte.

Jakub Kroustek, chef des systèmes de renseignement de menace à Avast, convient que ransomware double extorsion fournit cyber-criminels avec plus de possibilités en leur permettant d’extorquer des victimes à deux reprises. « Ils peuvent exiger un paiement initial pour le décryptage des fichiers et un second pour ne pas les rendre publics », explique M. Kroustek.

« ette technique, également connu sous le nom de doxing, a été utilisé par un nombre croissant de groupes ransomware au cours de la dernière année. Les conséquences du doxing sont plus graves pour la victime, de sorte qu’ils se conforment souvent aux exigences. Cela signifie plus d’argent dans les poches des cybercriminels pour le financement de nouvelles souches ransomware et de soutenir d’autres activités criminelles.

L’amélioration des logiciels malveillants et des incitations financières pour les pirates ont conduit à la croissance de doubles attaques d’extorsion, fait valoir Le défenseur de la vie privée Comparitech Paul Bischoff. Il raconte à Computer Weekly: « Dans le passé, les fichiers cryptés ransomware et les pirates ont volé des données, mais il était rare de faire les deux.

« aintenant, nous avons des bots qui peuvent scanner le Web pour les données non protégées, le voler, le chiffrer ou le supprimer, et laisser une note de rançon pour le propriétaire tout en une seule attaque automatisée. Le pirate peut alors collecter une rançon pour les données et vendre les données à d’autres criminels, double-trempage avec un minimum d’effort. »

Une tactique agressive

Au cours de la dernière année, il ya eu un afflux de double extorsion ransomware attaques. John Chambers, directeur des services informatiques, de communication, de travail, de processus d’affaires et d’application de la société d’électronique Ricoh UK, affirme qu’ils ont gagné en popularité à la fin de 2019 lorsque des groupes de piratage de haut niveau comme Maze ont commencé à tirer parti « agressivement » de cette tactique.

« Dans ces cas, l’attaquant exfiltrait une copie des données avant de les chiffrer », explique-t-il. « De cette façon, l’agresseur empêche non seulement la victime d’accéder à ses données, mais conserve également une copie des données pour elle-même.

« Afin de revendiquer la responsabilité et de faire pression sur la victime pendant le processus de négociation, l’attaquant libérait souvent de petites parties des données en ligne. En cas d’échec des négociations, l’attaquant publierait alors toutes les données exfiltrées ou les vendrait à tiers créant une violation importante des données pour la victime.

Pour se défendre contre ces attaques, il y a un certain nombre de mesures différentes que les entreprises devraient prendre. « En plus des pratiques exemplaires habituelles en matière de cybersécurité, y compris le maintien des systèmes à jour avec le patching pour s’assurer que les vulnérabilités connues sont résolues, il est impératif que les organisations disposent d’une approche de sécurité à plusieurs niveaux, y compris l’examen des outils de prévention des pertes de données pour arrêter l’exfiltration des données qui déclenche ces doubles attaques d’extorsion », explique M. Chambers.

Mais que peuvent faire les organisations si elles sont incapables d’atténuer avec succès l’une de ces attaques ? Chambers explique : « Pour faire face à une épidémie de ransomware, les organisations devraient chercher à inclure une dernière ligne de défense qui isole et arrête immédiatement le chiffrement illégitime en cours lorsque la sécurité traditionnelle basée sur la prévention a été compromise ou contournée. Des processus de sauvegarde robustes, y compris des copies hors ligne, devraient également être pris en compte pour rendre plus difficile pour les criminels de chiffrer ou de désactiver les magasins de données critiques.

Conséquences désastreuses

Si une organisation est victime d’une double attaque ransomware extorsion, il ya souvent d’énormes ramifications. Julian Hayes, associé chez BCL Solicitors, déclare : « En se faisant passer de noms dystopiques tels que Maze, Netwalker et REvil, ils sont de plus en plus effrontés, affichant des données exfiltrées comme des trophées en ligne et parrainant même des concours de piratage souterrain pour mettre en valeur leurs logiciels malveillants.

« Pour leurs victimes, les conséquences peuvent être dévastatrices; Travelex, le service de change, est entré en administration avec la perte de 1.300 emplois au Royaume-Uni à la suite d’une attaque ransomware de la Saint-Sylvestre où un gang cyber a exigé de l’entreprise payer 6 millions de dollars en 48 heures ou faire face à la publication de ses informations de carte de crédit clients, numéros d’assurance nationale et les dates de naissance.

De toute évidence, il est crucial que les entreprises fassent tout ce qu’elles peuvent pour identifier et arrêter ces attaques avant qu’elles ne causent des dommages majeurs. « Prévenir de telles attaques est bien mieux que d’atténuer leurs effets, avec tous les coûts financiers et les dommages à la réputation qu’elles entraînent », dit Hayes.

« La plupart des attaquants ont accès par erreur humaine et, avec des mesures techniques telles que la gestion et la sauvegarde des données internes, la formation et la vigilance du personnel sont des éléments clés dans les défenses d’une organisation. »

Les victimes ont essentiellement deux choix, qui sont tous deux coûteux, selon Hayes. Soit les organisations « refusent de payer et font face à une violation catastrophique des données avec l’exposition à des amendes réglementaires douloureuses et des réclamations civiles », soit elles « paient la rançon sans aucune garantie de restitution des données ».

Traiter avec ransomware double extorsion

Bien qu’être touché par ransomware peut porter un coup dévastateur à n’importe quelle entreprise, les entreprises devraient se méfier lorsqu’on leur demande de payer des frais de rançon. Jake Moore, un spécialiste de la sécurité à l’ESET, dit que cela pourrait entraîner des risques encore plus grands. « Il n’y a aucune certitude que ces pirates ne demanderont pas simplement plus ou ne publieront pas les données de toute façon », explique-t-il.

Au lieu de cela, Moore exhorte les entreprises à sécuriser leurs réseaux et effectuer des tests de simulation pour atténuer la menace de ransomware. « De telles attaques simulées aideront à mettre en évidence les vulnérabilités au sein d’une organisation sans risquer de faire face à de graves problèmes financiers et d’avoir à répondre à des questions très difficiles de la part de l’OIC et de vos clients », dit-il.

Kiri Addison, responsable de la science des données pour l’intelligence des menaces et l’overwatch chez Mimecast, affirme que la mise en œuvre de mesures de résilience forte sont le meilleur moyen de prévenir la double extorsion ransomware. « Le ransomware est souvent une infection secondaire, et les acteurs de la menace cherchent à exploiter les vulnérabilités connues, en particulier en ce qui concerne le RDP, les serveurs et les applications qui sont essentiels pour travailler à domicile », dit-elle.

« Pour atténuer cela, il est essentiel de s’assurer que les vulnérabilités sont corrigées en temps opportun et que les journaux de données réseau sont surveillés pour détecter toute activité inhabituelle ou exfiltration de données. Il ya donc une fenêtre d’opportunité potentielle pour remédier à toute infection primaire et ainsi l’empêcher de se développer en une attaque ransomware. »

Éducation

Pendant ce temps, les organisations devraient éduquer leur personnel sur les risques de double ransomware et comment il est distribué. « Les utilisateurs individuels peuvent également aider grandement en étant conscients du potentiel de pièces jointes dangereuses et doivent également se méfier de cliquer sur les liens électroniques reçus dans n’importe quelle communication, en particulier avec la résurgence récente d’Emotet », dit Addison.

Cath Goulding, CISO de Nominet, explique qu’il existe deux stratégies de défense pour faire face à la double extorsion ransomware. « out d’abord, sauvegardes robustes, pour s’assurer que vous n’êtes pas poussé dans un coin si les pirates ne gain contrôle de vos données. Deuxièmement, le chiffrement, pour s’assurer que si un attaquant menace d’exposer les données, cela aussi est protégé contre », dit-elle.

« Ces approches devraient ensuite s’intégrer dans une stratégie plus large qui inclut la cyber hygie de base. De la surveillance étroite du réseau qui pourrait vous permettre de couper les attaquants avant l’exfiltration des données, à l’éducation des employés de ne pas être victimes d’attaques de phishing qui sont souvent la cause profonde d’un incident ransomware – tous joueront un rôle vital dans la construction de votre cyber posture. »

La menace de double extorsion ransomware est indéniable, avec des cybercriminels soigneusement cibler et l’élaboration de ces attaques dans le but d’augmenter la taille de leurs rançons. Souvent, les organisations ont l’impression qu’elles n’ont pas d’autre choix que de payer des rançons pour éviter que des données sensibles ne soient divulguées. Mais en réalité, il s’agit d’un jeu de roulette russe et les informations volées peuvent encore faire son chemin en ligne. Par conséquent, l’accent doit être mis sur la prévention et l’atténuation.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance