Les demandes de ransomware et les paiements augmentent avec l’utilisation de sites de fuite

Gang de ransomware Conti

En termes d’acteurs de la menace impliqués, le nouveau rapport ajoute que le gang de ransomware Conti était responsable de la majeure partie de l’activité, représentant plus d’un cas sur cinq travaillé par les consultants de l’Unité 42 tout au long de 2021. REvil, également connu sous le nom de Sodinokibi, était deuxième (7,1%), suivi de Hello Kitty et Phobos (à 4,8% chacun).

L’unité 42 a également noté que l’écosystème de la cyberextorsion s’est généralement élargi avec l’émergence de 35 nouveaux gangs de ransomware en 2021, dont Black Matter, Hive et Grief.

« Nous avons également commencé à voir des groupes de ransomware appliquer des techniques de triple extorsion », indique le rapport. Suncrypt, vu à l’origine en octobre 2019, a été l’un des premiers, avec BlackCat, à appliquer ces tactiques de triple extorsion.

« Cela signifie que, parallèlement au cryptage et au vol des données, le gang et ses affiliés extorquent davantage leurs victimes en menaçant de lancer une attaque DDoS sur l’infrastructure ou le réseau de l’organisation en cas d’échec des négociations sur la demande de rançon. Si les négociations ne se passent pas bien, non seulement elles divulguent les données des victimes, mais elles lancent les attaques DDoS pour rendre leurs victimes inutilisables, dans l’espoir que la victime les contactera pour relancer les négociations.

En février 2022, le National Cyber Security Centre (NCSC) du Royaume-Uni a déclaré que les attaques de ransomware menées au cours des 12 derniers mois atteignaient de nouveaux niveaux de sophistication, les gangs cybercriminels se tournant vers des tactiques de plus en plus professionnelles et ciblant des victimes plus percutantes; tendances susceptibles de se poursuivre.

En août 2021, le rapport de sécurité semestriel de Check Point a également noté qu’il y avait eu une augmentation des attaques de ransomware tout au long du premier semestre de l’année, après avoir connu une augmentation de 93%.

La société a déclaré que la hausse était alimentée par la montée en puissance des techniques de triple extorsion, par lesquelles les attaquants, en plus de voler des données sensibles aux organisations et de menacer de les divulguer publiquement à moins qu’un paiement ne soit effectué, ciblent également les clients, les fournisseurs ou les partenaires commerciaux de l’organisation de la même manière.

Selon Barnaby Mote, directeur général de la société spécialisée dans la continuité des activités et la reprise après sinistre informatique Databarracks, il existe une « déconnexion inquiétante » entre les administrateurs et les responsables de la cybersécurité face à la menace des ransomwares.

Mote a noté qu’un rapport récent d’Egress a révélé que seulement 23% des conseils d’administration d’entreprises considèrent les ransomwares comme leur priorité absolue en matière de sécurité (malgré le fait que 59% des entreprises soient touchées par des attaques de ransomware), tandis qu’une étude distincte du Forum économique mondial (WEF) a révélé que quelque 80% des dirigeants de la cybersécurité considéraient les ransomwares comme une menace dangereuse et évolutive pour la sécurité publique.

« Il reste un fossé clair entre la façon dont les experts en cybersécurité et les dirigeants d’entreprise perçoivent la menace, malgré la prévalence des ransomwares », a-t-il déclaré. « Si les dirigeants d’entreprise ne se concentrent pas davantage sur le problème, c’est un objectif ouvert pour les cybercriminels.

« Le rapport a également révélé que 61 % des RSSI touchés par Ransomware a refusé de payer la rançon, et 80% de ceux qui n’avaient pas été touchés ont déclaré qu’ils refuseraient. Cela souligne la nécessité d’une réponse préparée à l’avance aux attaques de ransomware, car il s’agit d’un processus beaucoup plus complexe que le simple refus de payer.

Il a ajouté qu’une « stratégie de sauvegarde étanche en place » peut aider les organisations à refuser en toute confiance une demande de ransomware, mais que cette stratégie nécessite l’adhésion du sommet : « Les administrateurs doivent écouter attentivement leurs collègues cybernétiques et se rendre compte que l’époque où les ransomwares étaient une menace secondaire est révolue. »

Impacts sur l’entreprise

L’Unité 42 a également déclaré dans son rapport qu’à mesure que le paysage des menaces de ransomware évolue, les équipes de sécurité et les parties prenantes exécutives devraient être mieux informées de la nature des attaques et de leurs impacts commerciaux.

« Cela signifie éduquer vos principales parties prenantes de niveau C et le conseil d’administration en parlant le langage de l’entreprise et en tirant parti des briefings sur les menaces pour informer stratégiquement votre profil de risque et votre stratégie de sécurité », a-t-il déclaré, ajoutant que la mise en œuvre d’une approche de confiance zéro était également essentielle.

« Vous devez également éduquer votre équipe de sécurité technique sur les dernières menaces de ransomware, y compris les vecteurs d’attaque, les TTP, les demandes de rançon et les meilleures mesures de protection pour prévenir les attaques.

« Le modèle Zero Trust est devenu une priorité croissante pour les dirigeants qui ont besoin de suivre la transformation numérique et de s’adapter au paysage de la sécurité en constante évolution. De nombreuses organisations sont encore aux prises avec un assemblage mal intégré et lâche de produits ponctuels qui ne correspondent pas à l’approche stratégique attendue par les membres du conseil d’administration et les cadres dirigeants.

« Déployé correctement, le zero trust simplifie et unifie la gestion des risques en faisant de la sécurité un cas d’utilisation unique pour les utilisateurs, les appareils, la source de connexion ou la méthode d’accès. »