Pourquoi se préoccuper des ransomwares ? La montée en puissance des attaques par ransomware à moindre effort.

Selon l'enquête 2022 sur les atteintes à la cybersécurité au Royaume-Uni, l'une des plus grandes menaces perçues par les organisations britanniques est le ransomware. Plus de la moitié (56 %) de toutes les personnes interrogées ont déclaré que leur organisation avait pour règle de ne pas payer les demandes de rançon, pourtant la croissance rapide de ces attaques et leur importance médiatique montrent à quel point les ransomwares peuvent être lucratifs pour les cybercriminels

Cependant, la mise en œuvre d'une attaque par ransomware peut prendre beaucoup de temps. Il ne s'agit pas seulement d'accéder à un système : les attaquants doivent distribuer le logiciel malveillant tout en veillant à ce que les fichiers qu'ils ciblent ne compromettent pas la stabilité du système et n'alertent pas leurs victimes trop tôt. En outre, pour qu'une telle attaque réussisse, ils doivent également identifier et supprimer les données et les copies de sauvegarde ou les copies d'ombre. Ainsi, bien que de telles attaques puissent être très rentables, le processus exige un effort considérable. Par conséquent, les pirates cherchent des moyens de rationaliser le processus et nous commençons à en voir les résultats dans une nouvelle vague d'attaques d'extorsion - la rançon sans ransomware.

Cela va faire mal à Kara

Un récent avertissement du FBI décrit en détail les activités d'un groupe cybercriminel appelé Karakurt, qui a demandé jusqu'à 13 millions de dollars de rançon à ses victimes. À cet égard, Karakurt fonctionne de la même manière que de nombreux groupes de ransomware, à ceci près que les victimes n'ont pas signalé de cryptage des machines ou des fichiers compromis. Au lieu de cela, Karakurt vole des données et menace de les mettre aux enchères ou de les diffuser en ligne si ses demandes ne sont pas satisfaites.

Les attaques de rançon basées sur le vol de données plutôt que sur le cryptage sont parfois appelées extorsion à multiples facettes et sont appelées à devenir monnaie courante. Non seulement la méthode est plus facile à mettre en œuvre, mais une fois que les criminels ont obtenu leur prix, il n'est pas nécessaire de faire des allers-retours sur les clés de cryptage pour déverrouiller les données prises en otage. Moins il faut de temps et d'efforts par victime, plus un collectif de pirates peut s'attaquer à un grand nombre de victimes, plus ses profits globaux sont élevés.

Ce phénomène reflète d'autres tendances dans le domaine des ransomwares, comme les attaques par déni de service (RDoS), qui ont également connu une forte augmentation au cours des deux dernières années. Les attaques RDoS peuvent souvent être incroyablement brèves - quelques minutes à peine - mais elles servent à démontrer aux entreprises que l'attaquant est capable de mettre leur réseau hors service et qu'il le fera pendant de plus longues périodes à moins qu'une rançon préventive ne soit payée. Les attaques RDoS et les attaques par vol de données avec demande de rançon s'appuient sur les versions précédentes pour permettre aux pirates d'extorquer plus facilement de l'argent avec moins de ressources.

Problèmes différents, même solution

La bonne nouvelle, c'est que la meilleure façon pour les entreprises de lutter contre les attaques par ransomware "à moindre effort" est aussi la façon de faire face à une foule d'autres menaces potentielles : s'attaquer à leurs données. Qu'il s'agisse d'extorsion à multiples facettes, de menaces internes ou de piratage des données de cartes de crédit, le facteur le plus important pour le succès d'une attaque est la visibilité dont dispose l'entreprise pour repérer le problème.

Par exemple, pour obtenir une rançon valable d'une entreprise, les cybercriminels doivent avoir exfiltré suffisamment d'informations sensibles pour que le non-paiement soit une option trop pénible. Selon la taille de l'entreprise, cela peut prendre des semaines, voire des mois. Toutefois, si l'organisation cible dispose d'une visibilité totale sur l'ensemble de ses données et peut constater que des informations sensibles, telles que les informations personnelles identifiables (PII) des clients ou des droits de propriété intellectuelle étroitement protégés, sont déplacées ou copiées, elle peut enquêter et arrêter les attaquants avant que les informations ne soient suffisantes pour justifier une rançon.

En construisant une stratégie de cybersécurité autour du principe de la protection des données, plutôt que d'essayer de combattre chaque menace individuellement, il est facile de voir comment les mêmes outils et approches permettent de se défendre simultanément contre les demandes de rançon, tout en empêchant un employé mécontent de se transformer en une menace interne majeure.

Découvrir, classer, protéger

Malheureusement, il est beaucoup plus facile de parler de "visibilité des données" que de l'obtenir. De nombreux facteurs doivent être pris en compte pour obtenir une visibilité totale, mais les deux plus importants sont la découverte et la classification. Aujourd'hui, les entreprises stockent de vastes quantités de données, réparties dans plusieurs référentiels, notamment :

● Des bases de données déployées sur site ou dans le cloud.

● Des plateformes de données volumineuses.

● Des systèmes de collaboration

● Les services de stockage dans le cloud.

● Des fichiers tels que des feuilles de calcul, des PDF ou des courriels.

Il est pratiquement impossible d'essayer de suivre manuellement tous les actifs sur tous ces sites, surtout lorsque les actifs sont fréquemment utilisés ou déplacés. C'est comme essayer de compter le nombre de grains de sable sur une plage alors que les vagues les réarrangent constamment. Le processus doit donc être automatisé. Les entreprises doivent connaître toutes les données présentes sur leur réseau, qu'elles soient structurées ou non, sinon elles constituent une cible parfaite pour l'exfiltration et la demande de rançon.

Après avoir effectué une découverte complète des données, l'étape suivante est la classification. Là encore, la classification manuelle des données n'est pas envisageable, sauf pour les plus petites entreprises. Il faut donc mettre en place un processus automatique, en classant les informations dans des catégories de sensibilité élevée, moyenne et faible.

Il n'existe pas de règle absolue pour classer les données, mais une sensibilité élevée comprendrait des éléments tels que des informations financières ou des informations d'identification pour les systèmes informatiques, une sensibilité moyenne pourrait correspondre à des contrats de fournisseurs ou à de la correspondance interne n'impliquant pas de données confidentielles, et une sensibilité faible correspondrait à des informations accessibles au public telles que des communiqués de presse ou du matériel de marketing.

Une fois que toutes les données ont été découvertes et classées, il est beaucoup plus facile de mettre au point des processus solides pour surveiller et protéger les informations importantes, afin qu'elles ne tombent pas entre les mains d'extorqueurs potentiels.

L’évolution des ransomwares

La cybersécurité est un combat permanent car de nouvelles menaces apparaissent sans cesse. Les ransomwares ont été le plus grand sujet de sécurité de ces dernières années, mais nous voyons déjà les criminels étendre leurs opérations et trouver de nouveaux moyens de soutirer des profits aux victimes.

Il est impossible de savoir précisément comment ces menaces de ransomwares vont évoluer, mais à la base, le ransomware implique des attaques sur les données des entreprises. Toute stratégie de cybersécurité doit donc partir de la question de savoir comment protéger les données, car si les données sont sécurisées et gérées, il n'y a pas de rançon à obtenir.