commerce-florissant-ransomwares

Les cyberattaques utilisant des ransomwares se multiplient d’année en année, mais quel est exactement le secret de leur succès ?

D’une manière générale, la réussite d’une activité commerciale est évaluée par sa rentabilité. Plus elle génère des profits, plus elle est perçue comme réussie. À cet égard, on peut considérer les actes criminels utilisant des ransomwares comme une activité très prospère.

En 2020, les attaques de ransomwares se sont déchaînées. Les experts en sécurité de PurpleSec ont estimé que le coût final des ransomwares pour les entreprises mondiales en 2020 devrait aller au-delà de 16 milliards d’euros. Ils ont également prédit que la tendance des attaques de ransomwares continuera d’être la menace numéro un dans les années à venir.

Pourquoi ? Parce que les ransomwares rapportent de l’argent aux cybercriminels.

Les cybercriminels dissimulent les ransomwares à la vue de tous

Lorsqu’une activité est considérée comme prospère, il est certain que ses initiateurs vont continuer de la promouvoir, et les opportunités seront construites sur la base de leurs précédents succès.

Si certaines portes de sécurité se ferment aux attaques de ransomware, d’autres vont s’ouvrir grâce à l’innovation dans le monde de la cybercriminalité. En fait, les auteurs d’attaques de ransomware ne connaissent aucune limite dans leur course à l’argent.

Toutes les astuces d’ingénierie sociale ont été utilisées au fil des ans, de la sextorsion au phishing. La prolifération du vol de données – y compris les identifiants de connexion – alimente la boucle de la manipulation sociale, permettant aux pirates de demander de rançon dont les montants sont souvent conséquents.

Les attaques de « credential stuffing » sont un bon exemple. Elles sont souvent liées aux attaques de ransomware, impliquant le vol d’informations, la connexion à des comptes privilégiés et l’installation de malwares.

Les pirates derrière les attaques de ransomware raisonnent comme des chefs d’entreprise astucieux. Ils cherchent toujours à tirer le meilleur parti de leur « produit ».

Ils utilisent les ransomwares non seulement pour extorquer de l’argent à leurs victimes en demandant une rançon contre la clé de déchiffrement de leurs données chiffrées ou en menaçant de divulguer les informations sensibles qu’ils ont collectées sur le web au cas où elles refusent de payer.

La menace d’une fuite des données volées peut souvent faire pencher la balance dans la décision de payer, ou non, la demande de rançon. Sophos décrit ce phénomène comme un « marché secondaire de l’extorsion ». Dans un rapport de 2020 sur les tactiques de ransomware, l’éditeur de sécurité a constaté qu’un nombre croissant d’outils de ransomware sont utilisés pour exfiltrer des données du réseau de la victime.

Dans un précédent article, TitanHQ a évoqué cette tactique de « double jeu », en décrivant comment le ransomware CLOP utilise une technique de « double extorsion » pour chiffrer et voler des données, en menaçant de les exposer pour donner plus de poids à la demande de rançon.

Les attaques de ransomware connaissent un succès croissant. Ce succès a encouragé les criminels à l’origine de ces attaques, lequel est dû en grande partie à des tactiques astucieuses qui dissimulent les ransomwares à la vue de tous, permettant aux vecteurs d’attaque et aux malwares d’échapper à la détection.

Par exemple, de nombreux kits de ransomware modernes utilisent actuellement des utilitaires légitimes comme base pour diffuser des ransomwares. Cela signifie que les vecteurs d’attaque et les malwares ont peu de chances d’être détectés par les solutions de sécurité des points finaux.

Sur ce point, le rapport de PurpleSec a souligné que, dans 75 % des cas d’attaques de ransomware, les organisations utilisaient une sécurité des points d’accès à jour.

Menaces et outils de ransomware

En 2020, la pandémie du Covid-19 a joué un rôle important dans l’augmentation de l’activité des ransomwares. Il a été découvert qu’au cours de l’année, le protocole de bureau à distance (Remote Desktop Protocol – RDP) était la principale cause des attaques de ransomware.

En raison de la politique de travail à domicile adoptée par de nombreuses organisations pendant la pandémie, les entreprises ont été contraintes de recourir au protocole RDP. En conséquence, les attaquants de ransomwares ont concentré leurs efforts sur ce point faible en utilisant la reconnaissance des informations d’identification ou des attaques par force brute.

Une fois le réseau compromis via ce protocole, les pirates peuvent facilement télécharger des ransomwares sur le réseau de leurs victimes, surtout si le vecteur d’attaque utilise les boîtes à outils adaptatifs qui échappent à la détection.

L’accessibilité des kits de ransomware vient aggraver ces problèmes et le concept de Ransomware-as-a-Service (RaaS) est devenu courant. Le RaaS est une pratique permettant aux cybercriminels qui veulent participer à l’action de cyber-extorsion même s’ils n’ont pas les compétences nécessaires pour développer leur propre malware en louant ou en achetant des kits d’exploitation.

L’un des kits RaaS les plus connus s’appelle Ransomware Evil ou REvil, également connu sous le nom de Sodinokibi. Il fonctionne sur la base d’une affiliation et peut rapporter à ses développeurs jusqu’à 30 % des recettes. Un rapport d’IBM sur le problème des ransomwares a révélé qu’une attaque de ransomware sur trois utilisait le kit d’exploitation REvil.

Les ransomwares vont-ils continuer à hanter les entreprises en 2021 ?

2020 fut une année fructueuse pour les cybercriminels dans le domaine des ransomwares. Ils ont adapté leurs tactiques pour s’adapter au climat du travail à domicile et s’efforcent de plus en plus de tirer parti de la prolifération des données et des identifiants volés.

Les entreprises de tous les secteurs doivent s’attendre à ce que les attaques de ransomware se poursuivent du moment que les cybercriminels continuent à en tirer des profits. Le RaaS ne fait qu’exacerber le problème en rendant les kits d’exploitations permettant de diffuser des ransomwares plus faciles à obtenir et à utiliser.

Une chose est sûre, les cybercriminels ne cesseront d’adapter leurs tactiques et leurs processus à l’environnement industriel en mutation.

Le ransomware d’autrefois, qui servait à chiffrer des données en vue de demander une rançon, utilise désormais des techniques élargies, notamment l’exfiltration de données et la menace d’exposition des informations volées. Pour les cybercriminels, les attaques de ransomware restent un business florissant.

Les organisations doivent elles aussi s’adapter pour contrer ces cybermenaces, quelle que soit la forme qu’elles prennent. Pour ce faire, elles doivent s’efforcer de stopper les ransomwares avant le point d’entrée, plutôt que de traiter l’attaque une fois qu’elle est lancée.

Le recours à l’ingénierie sociale pour manipuler les utilisateurs ; le vol de données et d’informations d’identification pour propager les attaques ; ainsi que les outils adaptatifs qui échappent à la détection, font des ransomwares une menace redoutable pour la sécurité.

Bref, étouffer les ransomwares dans l’œuf est un geste stratégique de la part d’une organisation pour contenir cette menace, et sachez que la protection des points finaux peut s’avérer insuffisant.

L’utilisation d’un système de surveillance intelligent, conçu pour les menaces complexes comme les ransomwares, permet de détecter les menaces en temps réel avant qu’elles ne deviennent une infection.

Contrairement aux anti-malware traditionnels pour les points de terminaison, les plateformes de surveillance intelligentes effectuent des mises à jour en temps réel et protègent contre les URL et les menaces de phishing actives et émergentes.

Les cybercriminels sont passés maîtres dans l’art de l’invention et ont de nombreux tours dans leur sac. Cependant, les entreprises peuvent se défendre, mais pour ce faire, elles doivent agir en temps réel. L’une des meilleures solutions est d’utiliser un filtre DNS comme WebTitan qui peut bloquer les malwares, le phishing, les ransomwares et les sites malveillants.

N’hésitez pas à consulter la vidéo de démonstration de WebTitan pour découvrir comment on peut protéger votre entreprise.