Ces attaquants modernes ont appris à déployer des campagnes de ransomware plus destructrices tout en devenant plus efficaces et plus habiles et ce toujours, dans le but d’échapper aux forces de l’ordre.
Il n’est pas rare désormais de voir des gangs de ransomware se rebaptiser rapidement après une attaque. Ils changent de noms et mettent en place une nouvelle organisation interne. DarkSide, le groupe de ransomware à l’origine de plusieurs attaques importantes, semble par exemple s’être rebaptisé BlackMatter.
À chaque réinvention, les gangs de ransomware ont la possibilité de devenir plus forts en tirant des leçons de leurs expériences passées et en tirant parti de nouvelles techniques et vulnérabilités. Ils disposent d’un arsenal d’outils, de nombreux vecteurs pour atteindre et capter les données qu’ils recherchent, et d’une myriade de moyens qui leur permettent d’éviter d’être détectés après qu’ils aient infiltré les organisations victimes.
Des noms différents, une même action coup de poing.
Mais, à titre d’exemple, les démantèlements du gang de ransomware REvil et d’un pirate qui serait à l’origine des attaques de la chaîne d’approvisionnement de Kaseya, ainsi que la fermeture annoncée de BlackMatter, sont notables et encourageants. Cependant il n’y a pas de temps à perdre. Tenir les cybercriminels à distance, c’est comme éteindre un feu dans une forêt sèche : vous pouvez en éteindre un, mais vous n’êtes pas à l’abri des reprises qui peuvent survenir n’importe où et à tout moment.
Les attaquants ne plaisantent pas. Il y a beaucoup d’argent à gagner, ce qui alimente le développement et l’innovation. Réglementer les crypto-monnaies pour les rendre moins anonymes est une tactique logique, mais les cybercriminels se tournent déjà vers des monnaies numériques plus difficiles à suivre, comme Monero. Jusqu’à ce que les incitations changent, les chefs d’entreprise doivent s’attendre à ce que les gangs de ransomware performants continuent à se réinventer, à affiner leurs techniques et à s’attaquer aux données critiques.
Quel que soit leur nom, ces groupes cybercriminels utilisent généralement un modèle efficace de ransomware-as-a-service (RaaS) qui permet aux attaquants indépendants d’être rapidement opérationnels. Les attaquants peuvent s’appuyer sur une plateforme RaaS, ainsi que sur leurs propres outils et astuces, pour cibler les victimes et prendre leurs données en otage deux fois. Les attaquants utilisent désormais un modèle de double extorsion, où les victimes doivent payer pour récupérer leurs données et payer à nouveau pour obtenir la promesse que les attaquants ne divulgueront pas les données volées.
Les bandes de cybercriminels d’aujourd’hui font plus que voler et crypter les données des victimes. Les attaquants sont connus pour fouiller dans les fichiers d’une entreprise afin de découvrir le montant que leur cyberassurance paiera en cas d’attaque ; ils fixent ensuite la rançon sur la base de ce montant.
BlackMatter a trafiqué les contrôles d’accès les paramètres de sécurité qui déterminent qui peut accéder à quelles données sur votre réseau et les a cassés de sorte que chaque employé puisse accéder à des quantités massives de données. En d’autres termes, ils ne se sont pas contentés de pénétrer dans le coffre-fort, ils l’ont ouvert en grand et ont rendu les entreprises encore plus vulnérables à de futures attaques.
Les États-nations et les groupes cybercriminels, comme celui identifié en tant que FIN7, recrutent activement les “initiés” des entreprises, c’est-à-dire les employés et les autres personnes déjà présentes sur le réseau de l’entreprise. Le groupe FIN7 s’est également réinventé et a affûté ses vieux trucs. D’autres attaquants, comme le OnePercent Group, divulguent de petites quantités de données volées pour inciter les entreprises à payer. Les attaquants deviennent également plus personnels en menaçant de divulguer des données de santé mentale si les clients ne paient pas.
Avec autant d’argent à gagner, les attaquants ne sont pas prêts d’abandonner. La mission de chaque PDG est de rendre les cyberdéfenses de son entreprise tout aussi résistantes que les gangs de ransomware. Voici quatre façons de rendre votre organisation plus résistante aux menaces liées aux vols de données :
Vérifiez les mots de passe faibles et réutilisés et activez l’authentification multifactorielle (AMF). Cette étape critique est l’une des mesures les plus simples que vous pouvez prendre pour protéger votre entreprise. Le gang BlackMatter (et d’autres groupes) est connu pour s’emparer des noms d’utilisateurs et des mots de passe trouvés dans les décharges de violations de données sur le dark web. Ils essaient tous les justificatifs d’identité dans le but de forcer brutalement les systèmes Internet et d’y accéder.
Soyez attentif à toute activité inhabituelle. Si votre entreprise est comme la plupart des autres entreprises, vos employés et vos sous-traitants respectent les horaires de travail quotidiens, accèdent aux mêmes fichiers et utilisent les mêmes appareils à partir de lieux connus. Une activité inhabituelle comme se connecter depuis un nouveau lieu et accéder à des fichiers qui ne sont pas nécessaires pour le travail peut indiquer que des comptes ou des appareils sont compromis. Une activité inhabituelle, surtout si elle est associée à des comptes d’administration et de service, doit être examinée en priorité.
Surveillez vos données pour détecter les signes d’attaques par ransomware. Lorsqu’un ransomware est déployé, il commence rapidement à chiffrer les fichiers qu’il peut toucher. L’activité du compte peut être associée à un employé, mais il peut s’agir d’un compte utilisateur compromis. Un ransomware automatisé touchera et modifiera généralement les fichiers de manière séquentielle et rapide, se comportant différemment d’un utilisateur humain.
Adoptez une approche axée sur les données. Malgré l’explosion des points d’extrémité, la plupart des données sont désormais synchronisées et « vivent » dans de grands référentiels centralisés sur site et dans le cloud. Les vecteurs d’accès à vos données sont si nombreux que même si vous pouviez les anticiper et les surveiller tous, vous vous retrouveriez noyé dans un flot d’alertes de sécurité. Au lieu de commencer de l’extérieur vers l’intérieur avec tous les points d’extrémité et les vecteurs, il est beaucoup plus pratique de commencer par protéger vos grands référentiels centralisés – et de travailler de l’intérieur vers l’extérieur.
La plupart des organisations ne se rendent pas compte de la quantité de leurs données non surveillées et accessibles à tous. Un seul utilisateur compromis a le potentiel d’accéder à toute une myriade de données sensibles et de les mettre en danger un rayon d’action inacceptable.
Si vous voulez que votre entreprise devienne aussi résiliente que les organisations cybercriminelles, vous devez commencer par protéger le cœur même de votre entreprise : vos données. Car vous savez que c’est exactement ce dont ils cherchent à s’emparer. Et la marche à suivre est simple : en rendant systématiquement l’accès aux données plus difficile et en les surveillant de plus près, vous rendez alors la tâche des attaquants beaucoup plus délicate.