Ransomwares : Comment combattre la menace persistante avec détermination et vigilance ?

Les organisations modernes reposent aujourd'hui sur les données. Elles permettent la collaboration et nous aident à nous engager auprès des clients.

Mais ces mêmes données utiles sont également éparpillées dans d'innombrables applications, ce qui les rend difficiles à sécuriser. Les attaques par ransomware sont toujours en augmentation et 57 % des responsables de la sécurité s'attendent à ce qu'un ransomware compromette leur organisation au cours de l'année prochaine. Tout cela rend la protection des données plus essentielle que jamais.

Anticiper les menaces avec vigilance

Pour vous aider à garder une longueur d'avance sur les menaces de ransomware en constante évolution, il faut se questionner sur la façon dont le télétravail et la productivité dans le cloud ont rendu plus difficile la détection des attaques de ransomware, ainsi que de la façon dont la détection basée sur les anomalies comportementales peut aider à atténuer le risque de ransomware.

L'impression que le mode de fonctionnement des entreprises modernes, qui comprend une combinaison de technologies, a permis aux ransomwares de prospérer. Il est assez intéressant de réfléchir à l'évolution des ransomwares. Les attaquants privilégient les méthodes éprouvées : ils préfèrent le vol d'informations d'identification, analysent le réseau, achètent des informations d'identification sur le dark web et utilisent des kits de ransomware. Donc, à bien des égards, les choses n'ont pas changé. Ils cherchent à s'introduire dans votre réseau par tous les moyens. Mais le point d'entrée initial n'est pas vraiment ce qui distingue les opérateurs de ransomware, c'est ce qui se passe ensuite.

La persistance et la double extorsion en évolution

La tendance croissante est que les attaquants comprennent très bien l'infrastructure informatique. Par exemple, de nombreuses entreprises utilisent des machines Windows ou Linux. Elles peuvent également utiliser des services ou des plates-formes Cloud ou différents Endpoints. Les attaquants comprennent tout cela. Ils peuvent donc développer des malwares qui suivent ces modèles d'infrastructure informatique. Et en fait, c'est là qu'ils évoluent, ils s'habituent à nos défenses.

Ainsi, une partie de l'extorsion initiale pourrait concerner le chiffrement de votre réseau et la tentative de récupérer une clé de déchiffrement. La deuxième partie de l'extorsion consiste en fait à vous faire payer une autre somme d'argent pour essayer de récupérer vos données ou pour qu'elles ne soient pas divulguées. Vous devez partir du principe que vos données ont disparu. Il est très probable qu'elles ont déjà été vendues et qu'elles se trouvent déjà sur le dark web.

Les pièges de payer la rançon et les limites du déchiffrement

On croit à tort que si vous payez la rançon, vous allez récupérer vos services plus rapidement. La réalité est tout autre. Il faut partir du principe que les opérateurs de ransomware voient cela comme une entreprise. Et bien sûr, on s'attend à ce que si vous payez la rançon, vous receviez une clé de déchiffrement. La réalité est que seulement 65 % des organisations récupèrent effectivement leurs données. Et même si vous receviez une clé de déchiffrement, elle serait assez limitée. Et elle ne pourrait certainement pas tout ouvrir. Souvent, il faut encore passer en revue chaque fichier, ce qui est incroyablement laborieux. Et un grand nombre de ces fichiers risquent d'être corrompus. Il est également probable que les fichiers importants et critiques sur lesquels vous comptez soient ceux que vous ne pourrez pas déchiffrer.

Pourquoi les ransomwares affectent-ils toujours autant les entreprises ?

Les ransomwares sont gérés comme une entreprise. Plus les gens paient, plus les hackers vont demander des rançons. Tant que quelqu'un quelque part va payer, il y a un retour sur investissement pour l'attaquant. Maintenant, la différence est la suivante : de combien de temps dispose l'attaquant ? Les plus gros auront de la patience, la volonté et le désir de continuer à se déplacer dans le réseau. Ils sont plus susceptibles d'utiliser des scripts, différents malwares, et recherchent ce niveau de privilège pour pouvoir exfiltrer des données. Ils resteront plus longtemps dans votre réseau. Mais le défaut commun est que l'attaquant compte sur le fait que personne ne le surveille. Parfois, les attaquants restent dans le réseau pendant des mois. Donc, au moment où le réseau est crypté ou les données exfiltrées, il est trop tard pour vous. L'incident réel a commencé il y a des semaines ou des mois…

Le meilleur point de détection des attaques se situe au stade du mouvement latéral, lorsque l'attaquant cherche des exploits à partir desquels il peut pivoter ou des actifs plus précieux à voler. C'est l'un des défis les plus fondamentaux à relever.