Au cours de la dernière décennie, les ransomwares sont passés d’un crime relativement obscur à une industrie de plusieurs milliards de dollars, avec les plus grandes entreprises et même les gouvernements en ligne de mire.
Les groupes de cybercriminalité organisée exigent des rançons de six et sept chiffres ou plus de leurs victimes. En utilisant une combinaison d’infiltration de réseau, de logiciels malveillants et de cryptographie, les rançongiciels bloquent les entreprises de leurs données en attaquant le stockage, en chiffrant les données et même en désactivant les sauvegardes.
Les groupes de cybercriminalité ont également été stimulés par la croissance des crypto-monnaies, qui offrent aux criminels un moyen à faible risque d’extraire des paiements, et par des techniques qui vont au-delà du cryptage des données. Il s’agit notamment d’attaques à double et triple extorsion et de menaces de divulgation de données sensibles.
Les attaques de ransomware telles que celles qui ont frappé Maersk, Colonial Pipeline et l’Irish Heath Services Executive ont dominé les manchettes en raison des perturbations qu’elles ont causées. Mais les attaques de ransomware sont désormais monnaie courante et de plus en plus difficiles à prévenir.
Selon les experts de la société de sécurité des données Kroll, entre 25% et 45% des enquêtes de l’entreprise impliquent actuellement des attaques de ransomware.
Laurie Iacono, directrice générale associée de la collecte de renseignements sur les menaces chez Kroll, affirme qu’un petit nombre de groupes de ransomwares sont désormais à l’origine de la plupart des attaques, et que jusqu’à 86% des attaques impliquent désormais une exfiltration de données, et pas seulement un cryptage.
« Ce que nous voyons, c’est que les ransomwares sont devenus un vecteur d’attaque prédominant », dit-elle.
Comment fonctionnent les attaques de ransomware ?
Le chemin conventionnel des ransomwares dans une organisation consiste à utiliser une pièce jointe infectée contenant un fichier exécutable ou à inciter les utilisateurs à visiter un site Web contenant des logiciels malveillants. Ce logiciel injecté se déploie sur le réseau et recherche ses cibles.
Les attaques à double et triple extorsion créent des portes dérobées dans les systèmes qui permettent aux attaquants d’exfiltrer des données. De plus en plus, cela va de pair avec la désactivation des sauvegardes et des attaques sur les services de réseau central tels que Microsoft Active Directory.
La dernière génération d’attaques de ransomware cible les systèmes de sauvegarde, les appliances et les machines virtuelles. « Ils ciblent les appliances physiques et les appliances virtualisées », explique Oisin Fouere, responsable de la réponse aux cyberincidents au cabinet de conseil KPMG.
« De nombreux systèmes de sauvegarde sont hébergés sur une infrastructure virtuelle. Ils ont commencé à cibler et à supprimer les informations au niveau du système d’exploitation sur ces systèmes, ainsi qu’à s’attaquer à l’essentiel des systèmes.
Et comme le souligne Iacono de Kroll, les groupes de rançongiciels recrutent souvent des personnes ayant des connaissances techniques sur les systèmes de sauvegarde.
Mais d’abord, le ransomware doit entrer dans le réseau de l’entreprise. L’approche conventionnelle – et toujours la plus courante – consiste à utiliser une attaque de phishing ou une autre forme d’ingénierie sociale pour fournir des pièces jointes infectées ou convaincre les employés de cliquer sur des liens Web infectés.
Pendant le verrouillage de Covid, les groupes de ransomwares ont exploité les faiblesses des réseaux privés virtuels et des systèmes de bureau à distance, ce qui a provoqué une flambée des cas de ransomware.
« Il y avait beaucoup d’exposition autour de systèmes d’accès à distance mal protégés ou mal configurés, ce qui signifiait que les attaquants n’avaient pas besoin de passer du temps à essayer de résoudre le problème du vecteur d’intrusion », explique Fouere de KPMG. « On leur présentait presque un scénario de porte d’entrée ouverte à gauche, et c’était un choix favori au cours des deux dernières années. »
Le durcissement de ces points d’accès est à l’origine d’une baisse récente des incidents de ransomware, mais ce n’est pas une raison de se reposer sur ses lauriers, avertissent les experts.
Keith Chappell, expert en cybersécurité chez PA Consulting, affirme que nous assistons à « des attaques plus délibérées, plus ciblées et mieux documentées qui ont réellement un but, que ce soit perturber les opérations … ou d’extorquer pour gagner de l’argent ».
Quel est l’impact d’une attaque de ransomware sur le stockage et la sauvegarde ?
Les attaques de ransomware visent à refuser l’accès aux données. Les attaques de première génération ciblaient les disques durs, souvent sur les PC des individus, avec des méthodes de cryptage de qualité assez faible. Les victimes pouvaient obtenir un code de décryptage pour quelques centaines de dollars.
Cependant, les attaques modernes sont à la fois plus sélectives et plus dommageables. Les attaquants utilisent de plus en plus la reconnaissance pour trouver des cibles de grande valeur. Il s’agit notamment de données personnellement identifiables (PII), telles que les dossiers clients, commerciaux ou de santé, ou la propriété intellectuelle. Ce sont les dossiers que les entreprises craindront le plus d’être rendus publics.
« Très souvent, une attaque de phishing ou une attaque de rançon peut être utilisée comme technique de masquage pour quelque chose d’autre qui se passe, ou peut être masquée en faisant autre chose »
Keith Chappell, PA Consulting
Mais les attaquants ciblent également les réseaux et les données de gestion des identités et des accès, les systèmes opérationnels, y compris la technologie opérationnelle, et les flux de données en direct, ainsi que les sauvegardes et les archives. Les attaques à double et triple extorsion qui s’attaquent aux sauvegardes ou aux systèmes de reprise après sinistre et de continuité d’activité offrent les meilleures chances de paiement. Sans la possibilité de récupérer un système ou de restaurer des données à partir de sauvegardes, les entreprises n’ont peut-être pas d’autre choix que de payer.
Les attaquants recherchent également des comptes qu’ils peuvent compromettre et utiliser pour augmenter les privilèges, mener des attaques plus poussées ou plus profondes. Les équipes de sécurité doivent donc sécuriser non seulement les principaux magasins de données, mais également les systèmes administratifs.
« Très souvent, une attaque de phishing ou une attaque de rançon peut être utilisée comme technique de masquage pour quelque chose d’autre qui se passe, ou peut être masquée en faisant autre chose », explique Chappell de PA Consulting.
Comment le stockage et la sauvegarde aident-ils en cas d’attaque de ransomware ?
Même si les pirates criminels ciblent activement les sauvegardes, celles-ci restent la meilleure défense contre les ransomwares.
Les entreprises doivent s’assurer qu’elles effectuent des sauvegardes régulières et que celles-ci sont immuables, stockées hors site ou, idéalement, les deux. « Vous devez sauvegarder les données quotidiennement, hebdomadairement et mensuellement, et vous devez stocker les sauvegardes dans des emplacements physiquement séparés et déconnectés, idéalement dans différents formats », explique Chappell.
On a beaucoup parlé de la nécessité de « faire l’objet d’un trou d’air » dans les données provenant de systèmes susceptibles d’être attaqués, et cela n’est nulle part plus important que pour stocker des copies de sauvegarde. Toutefois, les supports de sauvegarde plus anciens, tels que les bandes, sont souvent trop lents pour permettre une restauration complète dans les délais exigés par l’entreprise.
« Les entreprises ont réalisé qu’elles ne pouvaient pas attendre plusieurs mois pour que ces sauvegardes sur bande soient restaurées », explique Fouere de KPMG. Au lieu de cela, les clients recherchent la résilience et la reprise basées sur le cloud, principalement pour la vitesse, dit-il.
À leur tour, les fournisseurs de solutions de sauvegarde et les fournisseurs de services cloud offrent désormais des sauvegardes immuables comme couche de protection supplémentaire. Les systèmes de continuité d’activité haut de gamme et actifs à actifs restent vulnérables aux ransomwares car les données sont copiées du système principal vers le système de sauvegarde. Les entreprises ont donc besoin d’une sauvegarde solide et de moyens d’analyser les volumes à la recherche de logiciels malveillants avant qu’ils ne soient utilisés pour la récupération, et idéalement, lorsque les données sont sauvegardées.
Mais les organisations informatiques doivent également prendre des mesures pour protéger elles-mêmes les systèmes de sauvegarde. « Ils sont également vulnérables, comme n’importe quel autre logiciel », explique Iacono, de Kroll. « Vous devez vous assurer que les systèmes de sauvegarde sont corrigés. Nous avons eu des cas où des acteurs de la menace exploitent les vulnérabilités des systèmes de sauvegarde pour les aider à exfiltrer des données ou à échapper à la détection.
Certaines équipes informatiques vont encore plus loin. Les groupes de ransomwares consacrant plus de temps à la reconnaissance, les entreprises masquent les noms des serveurs et des volumes de stockage. Il s’agit d’une étape simple et peu coûteuse pour éviter d’utiliser des étiquettes évidentes pour les magasins de données de grande valeur, et cela peut permettre de gagner un temps précieux lorsqu’il s’agit d’arrêter une attaque.
Quelles sont les limites du stockage et de la sauvegarde comme protection contre les ransomwares ?
Une bonne discipline autour des sauvegardes de données a réduit l’efficacité des attaques de ransomware. Cela peut expliquer pourquoi les groupes de cybercriminalité se sont tournés vers des attaques à double et triple extorsion, ciblant les systèmes de sauvegarde et exfiltrant des données.
« [Backup systems] sont également vulnérables, comme tout autre logiciel. Vous devez vous assurer [they] sont corrigés. Nous avons eu des cas où des acteurs de la menace exploitent les vulnérabilités des systèmes de sauvegarde pour les aider à exfiltrer des données ou à échapper à la détection.
Laurie Iacono, Kroll
L’utilisation de sauvegardes immuables avec le stockage sur disque ou dans le cloud minimise toujours l’impact des ransomwares. Mais les entreprises doivent s’assurer que toutes les parties des systèmes critiques sont entièrement protégées, et cela inclut les tests. Même si le magasin de données principal est sauvegardé, la restauration d’un système peut échouer si les données opérationnelles ou administratives sont chiffrées parce qu’elles ont été laissées hors du plan de sauvegarde.
Les entreprises doivent également permettre la restauration des données là où de bonnes sauvegardes existent. Même avec les derniers outils de sauvegarde et de restauration, il s’agit toujours d’un processus perturbateur.
De plus, les sauvegardes immuables n’empêcheront pas l’exfiltration des données. Ici, les entreprises doivent investir dans le chiffrement des actifs de données. Ils ne peuvent le faire que s’ils ont une compréhension précise et à jour de l’emplacement de leurs données. Les organisations devraient rechercher des outils de surveillance capables de détecter les mouvements de données inhabituels et investir dans la protection des comptes d’utilisateurs privilégiés.
La plupart des ransomwares se propageant encore par phishing et ingénierie sociale, les entreprises peuvent prendre des mesures techniques pour protéger leur périmètre.
Mais la formation du personnel à repérer les e-mails, les liens et les pièces jointes suspects, associée à l’authentification multifacteur, est la définition la plus forte.ence contre les ransomwares. Pour les rançongiciels, comme pour d’autres formes de fraude et de criminalité en ligne, la sensibilisation à la sécurité est un élément essentiel de la défense en profondeur.
Technologie3 ans ago
Monde3 ans ago
Monde2 ans ago
Monde3 ans ago
Monde3 ans ago
France3 ans ago
France3 ans ago
France3 ans ago