Persistance et patience : Deux qualités que vous ne voulez pas que votre attaquant de ransomware possède

Les organisations modernes reposent sur les données. Elles permettent la collaboration et nous aident à nous engager auprès des clients.

Ces mêmes données utiles sont également éparpillées dans d'innombrables applications, ce qui les rend difficiles à sécuriser. Les attaques par ransomware sont en augmentation. 57 % des responsables de la sécurité s'attendent à ce qu'un ransomware compromette leur organisation au cours de l'année prochaine ce qui rend la protection des données plus essentielle que jamais.

Anticiper les menaces de ransomware

Pour vous aider à garder une longueur d'avance sur les menaces de ransomware en constante évolution, il faut poser le débat sur la façon dont le télétravail et la productivité dans le cloud ont rendu plus difficile la détection des attaques de ransomware, ainsi que de la façon dont la détection basée sur les anomalies comportementales peut aider à atténuer le risque de ransomware.

L'impression que le mode de fonctionnement des entreprises modernes, qui comprend une combinaison de technologies, a permis aux ransomwares de prospérer. Ayant été confronté à ce type d'attaque dans mes fonctions antérieures, les experts savent ce que ressentent de nombreux RSSI. L'instinct humain est de payer la rançon. Il est assez intéressant de réfléchir à l'évolution des ransomwares. Ces attaques sont très sophistiquées. En réalité, les attaquants privilégient les méthodes éprouvées : ils préfèrent le vol d'informations d'identification, le password spraying, ils analysent le réseau, achètent des informations d'identification sur le dark web et utilisent des kits de ransomware. Donc, à bien des égards, les choses n'ont pas changé. Ils cherchent à s'introduire dans votre réseau par tous les moyens. Mais le point d'entrée initial n'est pas vraiment ce qui distingue les opérateurs de ransomware, c'est ce qui se passe ensuite.

C'est la persistance et la patience qui comptent

La tendance croissante est que les attaquants comprennent très bien l'infrastructure informatique. Par exemple, de nombreuses entreprises utilisent des machines Windows ou Linux ou possèdent des entités sur site. Elles peuvent également utiliser des services ou des plates-formes Cloud ou différents Endpoints. Les attaquants comprennent tout cela. Ils peuvent donc développer des malwares qui suivent ces modèles d'infrastructure informatique. Et en fait, c'est là qu'ils évoluent, ils s'habituent à nos défenses. Une évolution est le vol de données, puis la menace de les rendre publiques.

Cela est une double extorsion. Ainsi, une partie de l'extorsion initiale pourrait concerner le cryptage de votre réseau et la tentative de récupérer une clé de déchiffrement. La deuxième partie de l'extorsion consiste en fait à vous faire payer une autre somme d'argent pour essayer de récupérer vos données ou pour qu'elles ne soient pas divulguées. Vous devez partir du principe que vos données ont disparu. Il est très probable qu'elles ont déjà été vendues et qu'elles se trouvent déjà sur le dark web.

Faut – il payer la rançon ?

On croit à tort que si vous payez la rançon, vous allez récupérer vos services plus rapidement. La réalité est tout autre. Il faut partir du principe que les opérateurs de ransomware voient cela comme une entreprise. Et bien sûr, on s'attend à ce que si vous payez la rançon, vous receviez une clé de déchiffrement. La réalité est que seulement 65 % des organisations récupèrent effectivement leurs données. Il n'y a pas de baguette magique. Même si vous receviez une clé de déchiffrement, elle est assez limitée. Et elle ne va certainement pas tout ouvrir. Souvent, il faut encore passer en revue chaque fichier, ce qui est incroyablement laborieux. Un grand nombre de ces fichiers risquent d'être corrompus. Il est également plus probable que les fichiers importants et critiques sur lesquels vous comptez soient ceux que vous ne pourrez pas déchiffrer.

Pourquoi les ransomwares affectent-ils toujours autant les entreprises ?

Les ransomwares sont gérés comme une entreprise. Plus les gens paient, plus les hackers vont demander des rançons. Tant que quelqu'un quelque part va payer, il y a un retour sur investissement pour l'attaquant. Maintenant, la différence est la suivante : de combien de temps et de patience dispose l'attaquant ? En particulier les plus gros, ils auront de la persistance, et ils auront la volonté et le désir de continuer à se déplacer dans le réseau. Ils sont plus susceptibles d'utiliser des scripts, différents malwares, et ils recherchent cette élévation de privilège pour pouvoir exfiltrer des données. Ils vont rester plus longtemps dans votre réseau. Mais le défaut commun est que l'attaquant compte sur le fait que personne ne le surveille. Parfois, les attaquants restent dans le réseau pendant des mois. Donc, au moment où le réseau a été crypté ou les données exfiltrées, il est trop tard pour vous. L'incident réel a commencé il y a des semaines, des mois ou n'importe combien de temps.

Le meilleur point de détection des attaques se situe au stade du mouvement latéral, lorsque l'attaquant cherche des exploits à partir desquels il peut pivoter ou des actifs plus précieux à voler. C'est l'un des défis les plus fondamentaux à relever. Les experts savent ce qu'il faut faire pour atténuer le risque de phishing même si cela restera toujours un problème car il y a un élément humain. Mais une fois qu'ils ont obtenu cet accès initial, qu'ils ont obtenu un protocole RDP (Remote Desktop Protocol), ou des informations d'identification pour le serveur ou autre, ils peuvent commencer à se déplacer latéralement.