Les cybercriminels deviennent de plus en plus stratégiques et professionnels ransomware. Ils imitent de plus en plus le fonctionnement des entreprises légitimes, notamment en tirant parti d’une chaîne d’approvisionnement croissante en matière de cybercriminalité en tant que service.
Cet article décrit quatre tendances clés en matière de ransomware et fournit des conseils sur la manière d'éviter d'être victime de ces nouvelles attaques.
1. Les IAB en hausse
La cybercriminalité devient de plus en plus rentable, comme en témoigne la croissance des courtiers d'accès initial (IAB) spécialisés dans la piratage d'entreprises, le vol d'informations d'identification et la vente de cet accès à d'autres attaquants. Les IAB constituent le premier maillon de la chaîne de destruction de la cybercriminalité en tant que service, une économie souterraine de services prêts à l'emploi que tout criminel potentiel peut acheter pour construire des chaînes d'outils sophistiquées permettant d'exécuter presque toutes les infractions numériques imaginables.
Les principaux clients des IAB sont les opérateurs de ransomwares, prêts à payer pour avoir accès à des victimes prêtes à l'emploi tout en concentrant leurs propres efforts sur l'extorsion et l'amélioration de leurs logiciels malveillants.
En 2021, il y avait plus de 1,300 XNUMX inscriptions IAB sur les principaux forums sur la cybercriminalité surveillés par le KELA Cyber Intelligence Center, dont près de la moitié proviennent de 10 IAB. Dans la plupart des cas, le prix d'accès se situait entre 1,000 10,000 et 4,600 XNUMX dollars, avec un prix de vente moyen de XNUMX XNUMX dollars. Parmi toutes les offres disponibles, les informations d'identification VPN et l'accès administrateur de domaine figuraient parmi les le plus précieux.
2. Les attaques sans fichier passent inaperçues
Les cybercriminels s'inspirent des menaces persistantes avancées (APT) et des attaquants étatiques en employant des techniques de vie hors du territoire (LotL) et sans fichier pour améliorer leurs chances d'échapper à la détection et de déployer avec succès des ransomwares.
Ces attaques exploitent des outils logiciels légitimes et accessibles au public, souvent présents dans l'environnement d'une cible. Par exemple, 91 % des Ransomware DarkSide les attaques impliquaient des outils légitimes, avec seulement 9 % utilisant des logiciels malveillants, selon un rapport par Picus Sécurité. D'autres attaques ont été découvertes, 100 % sans fichier.
De cette façon, les acteurs malveillants échappent à la détection en évitant les indicateurs de « mauvais état connu », tels que les noms de processus ou les hachages de fichiers. Les listes d'applications autorisées, qui permettent l'utilisation d'applications fiables, ne parviennent pas non plus à restreindre les utilisateurs malveillants, en particulier pour les applications omniprésentes.
3. Groupes de ransomwares ciblant des cibles discrètes
Le haut profil Pipeline Colonial L’attaque de ransomware de mai 2021 a si gravement affecté les infrastructures critiques qu’elle a déclenché une crise internationale et réponse du gouvernement.
De telles attaques qui font la une des journaux suscitent un examen minutieux et des efforts concertés de la part des forces de l'ordre et des agences de défense pour agir contre les opérateurs de ransomwares, ce qui entraîne la perturbation des opérations criminelles, ainsi que des arrestations et des poursuites. La plupart des criminels préfèrent garder leurs activités sous le radar. Compte tenu du nombre de cibles potentielles, les opérateurs peuvent se permettre d’être opportunistes tout en minimisant les risques pour leurs propres opérations. Les acteurs du ransomware sont devenus beaucoup plus sélectifs dans leur ciblage des victimes, grâce aux firmographies détaillées et granulaires fournies par les IAB.
4. Les initiés sont tentés par une part du gâteau
Les opérateurs de ransomwares ont également découvert qu’ils peuvent recruter des employés malhonnêtes pour les aider à y accéder. Le taux de conversion est peut-être faible, mais le gain peut en valoir la peine.
A enquête réalisée par Hitachi ID menée entre le 7 décembre 2021 et le 4 janvier 2022, a révélé que 65 % des personnes interrogées ont déclaré que leurs employés avaient été approchés par des acteurs malveillants pour les aider à fournir un premier accès. Les initiés qui mordent à l’hameçon ont différentes raisons de vouloir trahir leur entreprise, même si l’insatisfaction à l’égard de leur employeur est la motivation la plus courante.
Quelle que soit la raison, les offres proposées par les groupes de ransomwares peuvent être tentantes. Dans l'enquête Hitachi ID, 57 % des employés contactés se sont vu offrir une offre inférieure à 500,000 28 $, 500,000 % se sont vu offrir une offre entre 1 11 $ et 1 million de dollars et XNUMX % se sont vu offrir plus d'un million de dollars.
Étapes pratiques pour améliorer la protection
Les tactiques évolutives évoquées ici augmentent la menace des opérateurs de ransomwares, mais les organisations peuvent prendre certaines mesures pour se protéger :
- Suivez les bonnes pratiques du Zero Trust, telles que l'authentification multifacteur (MFA) et l'accès au moindre privilège, pour limiter l'impact des informations d'identification compromises et augmenter les chances de détecter une activité anormale.
- Concentrez-vous sur l'atténuation des menaces internes, une pratique qui peut contribuer à limiter les actions malveillantes non seulement de la part des employés mais également des acteurs externes (qui, après tout, semblent être des initiés une fois qu'ils ont accès).
- Mener une chasse régulière aux menaces, ce qui peut aider à détecter rapidement les attaques sans fichier et les acteurs malveillants qui tentent d’échapper à vos défenses.
Les attaquants sont toujours à la recherche de nouveaux moyens d'infiltrer les systèmes des organisations, et les nouveaux stratagèmes que nous observons ajoutent certainement aux avantages dont disposent les cybercriminels par rapport aux organisations qui ne sont pas préparées aux attaques. Mais les organisations sont loin d’être impuissantes. En prenant les mesures pratiques et éprouvées décrites dans cet article, les organisations peuvent rendre la vie très difficile aux IAB et aux groupes de ransomwares, malgré leur nouvelle gamme de tactiques.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
