Les ransomwares en hausse
Nous aimerions tous que les ransomwares soient vaincus afin que nous puissions vaquer à nos occupations. Ce jour n’arrivera pas dans un avenir proche. Au lieu de cela, et selon le rapport Verizon DBIR de 2023, les ransomwares «… continuent leur règne comme l’un des principaux types d’actions présents dans les violations, et même s’ils n’ont pas réellement augmenté, ils sont restés statistiquement stables à 24 %.»
Et la raison fondamentale de sa longévité est bien entendu financière. Comme le DBIR l’a souligné dans presque tous les types de violations, « … la principale motivation des attaques continue d’être essentiellement financière, avec 95 % des violations ».
Mais ce n’est pas toute l’histoire
Les ransomwares prennent de nouvelles formes. Jusqu’à l’année dernière, les acteurs malveillants prenaient généralement des mesures pour infiltrer les entreprises, puis trouvaient un moyen d’accéder à autant de données critiques que possible et de les chiffrer, puis conservaient ces données jusqu’à ce que la rançon soit payée. Les attaques de ransomwares sont certainement un processus frustrant pour les entreprises, et plutôt complexe pour les mauvais acteurs. Pour les attaquants, le processus de demande de rançon de base implique un gain quelque peu diminué, car ce système multi-acteurs implique un partage des bénéfices avec d’autres acteurs malveillants dans la structure de la chaîne d’attaque.
Le cryptage de certains mauvais acteurs est dépassé.
De nos jours, lorsqu’il s’agit de criminalité numérique, ne sous-estimez jamais le facteur cupidité et la recherche constante de la voie de moindre résistance. Une tendance qui s’est récemment développée autour de la pensée suivante : « Pourquoi s’embêter avec le chiffrement, pourquoi ne pas simplement analyser les données, trouver ce qui a de la valeur et menacer de révéler les informations les plus cruciales et les plus préjudiciables à la réputation ? »
Pour les acteurs malveillants, cela élimine l’une des étapes de la chaîne d’attaque, mais réduit également la nécessité de partager les bénéfices avec les acteurs du chiffrement (par exemple, les bibliothèques de codes sources banalisées). Ce type d’attaque est souvent appelé « logiciel d’extorsion » ou « cyber-extorsion », entre autres termes.
Et qu’en est-il de ces données ?
Pour les mauvais acteurs qui prennent le temps et les efforts nécessaires pour analyser les données, il peut y avoir des récompenses financières supplémentaires. Ce nouvel objectif est centré sur l’identification des partenaires et des clients de l’entreprise ciblée et sur l’utilisation de ce groupe comme levier pour convaincre l’entreprise ciblée de payer l’argent de l’extorsion – afin d’éviter l’exposition et les conséquences inévitables de la violation.
Jusqu’où est allé ce logiciel d’extorsion ?
Nous avons vu par le passé que s’il y avait suffisamment de types de tactiques et de techniques répétés, certains dans le secteur de la sécurité les catégoriseraient, la même situation ici. Vous trouverez probablement des variantes de méthodes utilisées dans l’extorsion par ransomware – mais ce qui suit est un résumé très rapide d’au moins quatre techniques connues que les acteurs malveillants ont utilisées, pas nécessairement dans cet ordre :
- Attaque d’extorsion unique – techniques de chiffrement typiques
- Attaque de double extorsion : exfiltrer d’abord les données, puis les chiffrer et menacer d’exposer les données.
- Attaque de triple extorsion – comme ci-dessus mais en tirant parti des clients et partenaires de la victime
- Quadruple attaque d’extorsion – ajoutant l’insulte à l’injure ci-dessus, menaçant d’attaquer les serveurs Web de la victime avec une attaque DDoS.
Qu’est-ce qu’une entreprise à faire ?
La bonne nouvelle est que la plupart des entreprises font l’essentiel de ce qui est nécessaire pour se défendre efficacement contre ce type d’attaques. Mais comme tout le monde le sait, ces attaques continuent de se produire, et se poursuivront aussi longtemps qu’un profit financier sera réalisable.
Fondamentalement, les entreprises les plus prospères emploient, sans toutefois s’y limiter, trois domaines clés de la défense :
- Expertise SOC – l’expertise humaine, interne ou managée, a le dernier mot.
- Outils de sécurité avancés – en utilisant XDR, l’IA, l’automatisation et d’autres fonctionnalités clés pour réduire les temps de détection et de remédiation et minimiser les erreurs humaines, ainsi que le tri, les enquêtes et la réponse aux incidents.
- Les meilleures pratiques – pour répondre à des questions simples telles que (1) votre personnel de sécurité joue-t-il des rôles spécifiques lorsqu’une violation se produit, (2) en plus d’avoir un plan, a-t-il été testé ? et (3) l’informatique, les SecOps et les autres parties prenantes sont-ils impliqués dans le plan ?
Exemple d’outils de sécurité avancés
Cisco a récemment annoncé CiscoXDRun produit qui contribue à simplifier vos opérations de sécurité et à remédier aux incidents les plus prioritaires avec plus de rapidité, d’efficacité et de confiance.
Le but du jeu est d’être résilient en matière de sécurité et de minimiser les risques d’attaques telles que les logiciels d’extorsion. Veuillez consulter les informations et les démos de Cisco XDR ici.
Nous aimerions entendre ce que vous pensez. Posez une question, commentez ci-dessous et restez connecté avec Cisco Security sur les réseaux sociaux !
Canaux sociaux de sécurité Cisco
Instagram
Facebook
Twitter
LinkedIn
Partager:
