Les ransomwares constituent aujourd’hui la menace de cybersécurité la plus importante à laquelle les organisations sont confrontées. Mais récemment, les dirigeants de la National Security Agency et du FBI ont tous deux a indiqué que les attaques ont diminué au cours du premier semestre 2022. La combinaison des sanctions contre la Russie, d’où sont originaires de nombreux gangs de cybercriminels, et de l’effondrement des marchés des cryptomonnaies pourrait avoir eu un effet, rendant difficile pour les gangs de ransomwares d’extraire des fonds et d’obtenir leurs paiements.
Mais nous ne sommes pas encore sortis du bois. Malgré une baisse temporaire, les ransomwares sont non seulement en plein essor, mais ils évoluent également. Aujourd’hui, le ransomware-as-a-service (RaaS) est passé d’un modèle automatisé et banalisé reposant sur des kits d’exploitation préemballés à une opération commerciale hautement ciblée et sophistiquée, opérée par l’homme. C’est une raison pour laquelle les entreprises de toutes tailles doivent s’inquiéter.
Devenir RaaS
Il est bien connu que les cybercriminels d’aujourd’hui sont bien équipés, très motivés et très efficaces. Ils ne sont pas arrivés ainsi par hasard, et ils ne sont pas restés aussi efficaces sans continuellement faire évoluer leurs technologies et méthodologies. La motivation d’un gain financier massif a été la seule constante.
Les premières attaques de ransomwares étaient des attaques simples et axées sur la technologie. Les attaques ont conduit à se concentrer davantage sur les capacités de sauvegarde et de restauration, ce qui a conduit les adversaires à rechercher des sauvegardes en ligne et à les chiffrer également lors d'une attaque. Le succès des attaquants a conduit à des rançons plus importantes, et les demandes de rançon plus élevées ont rendu moins probable que la victime paie et plus probable que les forces de l'ordre soient impliquées. Les gangs de ransomwares ont répondu par l'extorsion. Ils sont passés non seulement au cryptage des données, mais également à l'exfiltration et à la menace de rendre publiques les données souvent sensibles des clients ou partenaires de la victime, introduisant ainsi un risque plus complexe d'atteinte à la marque et à la réputation. Aujourd'hui, il n'est pas rare que les attaquants de ransomware recherchent la police d'assurance de cyber-assurance d'une victime pour l'aider à définir la demande de rançon et rendre l'ensemble du processus (y compris le paiement) aussi efficace que possible.
Nous avons également assisté à des attaques de ransomwares moins disciplinées (mais tout aussi dommageables). Par exemple, choisir de payer une rançon à son tour identifie également une victime comme un candidat fiable pour une attaque future, augmentant ainsi la probabilité qu'elle soit à nouveau touchée, par le même gang de ransomware ou par un autre. Estimations de recherche entre 50% à 80% (PDF) des organisations qui ont payé une rançon ont subi une attaque répétée.
À mesure que les attaques de ransomwares ont évolué, les technologies de sécurité ont également évolué, en particulier dans les domaines de l'identification et du blocage des menaces. Les technologies anti-phishing, filtres anti-spam, antivirus et détection de logiciels malveillants ont toutes été affinées pour faire face aux menaces modernes afin de minimiser la menace d'une compromission via le courrier électronique, les sites Web malveillants ou d'autres vecteurs d'attaque populaires.
Ce jeu proverbial du « chat et de la souris » entre adversaires et fournisseurs de sécurité qui offrent de meilleures défenses et des approches sophistiquées pour stopper les attaques de ransomwares a conduit à une plus grande collaboration au sein des réseaux cybercriminels mondiaux. Tout comme les pirates de sécurité et les spécialistes des alarmes utilisés dans les vols traditionnels, les experts en développement de logiciels malveillants, en accès au réseau et en exploitation sont à l'origine des attaques et des attaques d'aujourd'hui. créé les conditions pour la prochaine évolution des ransomwares.
Le modèle RaaS aujourd'hui
RaaS a évolué pour devenir une opération sophistiquée, dirigée par des humains, dotée d'un modèle commercial complexe de partage des bénéfices. Un opérateur RaaS qui aurait pu travailler de manière indépendante dans le passé fait désormais appel à des spécialistes pour augmenter ses chances de succès.
Un opérateur RaaS – qui gère des outils de ransomware spécifiques, communique avec la victime et sécurise les paiements – travaillera désormais souvent aux côtés d'un pirate informatique de haut niveau, qui effectuera lui-même l'intrusion. La présence d'un attaquant interactif dans l'environnement cible permet une prise de décision en direct pendant l'attaque. En travaillant ensemble, ils identifient les faiblesses spécifiques du réseau, élèvent les privilèges et chiffrent les données les plus sensibles pour garantir les paiements. De plus, ils effectuent des reconnaissances pour rechercher et supprimer les sauvegardes en ligne et désactiver les outils de sécurité. Le pirate informatique sous contrat travaillera souvent aux côtés d'un courtier d'accès, chargé de fournir l'accès au réseau via des informations d'identification volées ou des mécanismes de persistance déjà en place.
Les attaques résultant de cette collaboration d’expertise ont la sensation et l’apparence d’attaques avancées de type menace persistante « à l’ancienne », parrainées par l’État, mais sont beaucoup plus répandues.
Comment les organisations peuvent se défendre
Le nouveau modèle RaaS exploité par l’homme est beaucoup plus sophistiqué, ciblé et destructeur que les modèles RaaS du passé, mais il existe encore de bonnes pratiques que les organisations peuvent suivre pour se défendre.
Les organisations doivent être disciplinées quant à leur hygiène de sécurité. L'informatique est en constante évolution et chaque fois qu'un nouveau point de terminaison est ajouté ou qu'un système est mis à jour, il peut potentiellement introduire une nouvelle vulnérabilité ou un nouveau risque. Les équipes de sécurité doivent rester concentrées sur les meilleures pratiques de sécurité : appliquer des correctifs, utiliser l'authentification multifacteur, appliquer des informations d'identification solides, analyser le Dark Web à la recherche d'informations d'identification compromises, former les employés à la détection des tentatives de phishing, etc. Ces les meilleures pratiques aident à réduire la surface d’attaque et minimiser le risque qu'un courtier d'accès puisse exploiter une vulnérabilité pour accéder. De plus, plus l’hygiène de sécurité d’une organisation est stricte, moins les analystes auront à trier dans le centre d’opérations de sécurité (SOC), ce qui leur permettra de se concentrer sur la menace réelle lorsqu’elle est identifiée.
Au-delà des meilleures pratiques de sécurité, les organisations doivent également s’assurer qu’elles disposent de capacités avancées de détection et de réponse aux menaces. Étant donné que les courtiers d'accès passent du temps à effectuer des reconnaissances dans l'infrastructure de l'organisation, les analystes de sécurité ont la possibilité de les repérer et de stopper l'attaque dès les premiers stades, mais seulement s'ils disposent des outils appropriés. Les organisations doivent se tourner vers des solutions étendues de détection et de réponse, capables de détecter et de corréler la télémétrie des événements de sécurité sur leurs points finaux, réseaux, serveurs, systèmes de messagerie et cloud, et applications. Ils doivent également être en mesure de réagir chaque fois qu’une attaque est identifiée pour y mettre fin rapidement. Les grandes entreprises peuvent intégrer ces fonctionnalités dans leur SOC, tandis que les entreprises de taille moyenne souhaitent peut-être envisager le modèle géré de détection et de réponse pour une surveillance et une réponse aux menaces 24h/7 et XNUMXj/XNUMX.
Malgré la récente baisse des attaques de ransomwares, les professionnels de la sécurité ne doivent pas s’attendre à ce que la menace disparaisse de si tôt. Le RaaS va continuer à évoluer, les dernières adaptations étant remplacées par de nouvelles approches en réponse aux innovations en matière de cybersécurité. Mais en mettant l’accent sur les meilleures pratiques de sécurité associées aux technologies clés de prévention, de détection et de réponse aux menaces, les organisations deviendront plus résilientes face aux attaques.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
