Moins nombreux, mais plus ciblés, les ransomwares s’attaquent désormais en priorité aux fichiers réseau partagés dans le Cloud pour chiffrer rapidement et largement.
Rapport Vectra – L’arme la plus redoutable des cybercriminels lors d’attaques de ransomware, est le réseau lui-même. Pour les attaquants, chiffrer le maximum de fichiers, le plus rapidement possible permet d’obtenir les plus fortes chances de paiement de la rançon…
Vectra, acteur majeur de la détection et réponse aux incidents réseau (Network Detection and Response) présente les résultats de son dernier « Spotlight Report » sur les menaces informatiques. Après avoir analysé les attaques ciblant les secteurs de l’industrie et de la santé, Vectra s’est intéressé à une attaque en particulier, le ransomware. Auparavant diffusé le plus largement possible pour toucher un maximum d’entreprises, le ransomware fait l’objet d’un ciblage bien plus précis. Vectra a en effet constaté que – pour générer le plus de gains possibles avec leurs attaques – les cybercriminels s’attaquent au réseau lui-même, car il leur permet de chiffrer des fichiers partagés sur des serveurs réseau, notamment des fichiers stockés chez des fournisseurs Cloud IaaS (Infrastructure as a Service).
Aujourd’hui, les attaquants peuvent facilement contourner la sécurité du périmètre réseau et mener une reconnaissance interne pour localiser et chiffrer des fichiers réseau partagés. En chiffrant des fichiers auxquels accèdent de nombreuses applications métiers sur le réseau, les attaquants réalisent une économie d’échelle plus rapidement. Cette attaque est bien plus dévastatrice que le chiffrement de fichiers sur des terminaux individuels.
Selon le Rapport Spotlight 2019 sur les ransomwares de Vectra, lors des dernières attaques de ransomware, les cybercriminels ont élargi leur champ d’action pour piéger les services Cloud, les datacenters et les infrastructures d’entreprise. Leur cible ? Les entreprises qui sont les plus susceptibles de payer de fortes rançons pour pouvoir de nouveau accéder aux fichiers chiffrés par le ransomware. Le coût de la paralysie des activités, l’impossibilité de récupérer des données sauvegardées et l’atteinte à la réputation sont particulièrement dramatiques pour les entreprises qui stockent leurs données dans le Cloud.
Chris Morales, responsable des analyses de sécurité chez Vectra explique :
« Les répercussions des attaques de ransomware contre les fournisseurs de services Cloud sont bien plus lourdes lorsque les systèmes d’information de chaque client hébergé sur le Cloud sont chiffrés. Aujourd’hui, les attaques de ransomware ciblées représentent une menace criminelle préméditée et efficace qui prend fin rapidement et ne nécessite pas d’intermédiaire ».
Le ransomware est une attaque simple et rapide à mettre en œuvre
Et le ransomware rapporte bien plus que le vol et la revente de cartes de crédit ou d’informations personnellement identifiables (PII), qui perdent de leur valeur après avoir été volées.
Si l’on ajoute à cela le paiement de la rançon en cryptomonnaie, une monnaie anonyme et quasiment intraçable, on comprend aisément pourquoi le business model « propre » et simple du ransomware a séduit les cybercriminels.
Jon Oltsik, analyste en chef chez Enterprise Strategy Groupajoute : « 53 % des entreprises déclarent souffrir d’une pénurie de compétences en matière de cybersécurité aujourd’hui (Source ESG). Face à des attaques de ransomware qui évoluent rapidement, ce manque de professionnels implique que la plupart des entreprises n’ont pas les ressources pour analyser les systèmes, neutraliser les menaces ou traiter les incidents. Le Rapport de Vectra est un bon outil pour expliquer aux entreprises que les attaques sont aujourd’hui très ciblées – et plus juste opportunistes – et qu’elles visent des secteurs et des cibles très spécifiques, afin qu’elles puissent mieux se préparer ».
L’Intelligence artificielle démontre encore son efficacité
L’intelligence artificielle peut détecter de subtils indicateurs de comportements de ransomware et permettre aux entreprises d’éviter les dommages à grande échelle. Lorsqu’elles identifient ces comportements malveillants au début du cycle de vie d’une attaque, les entreprises peuvent limiter le nombre de fichiers chiffrés par le ransomware, empêcher la propagation de l’attaque et éviter une interruption des activités lourde de conséquences.
Conception du Rapport Spotlight 2019 sur les ransomware :
Le Rapport repose sur les observations et les données issues de l’édition Black Hat 2019 de l’étude « Attacker Behavior Industry Report », qui présente les comportements et les tendances en matière d’attaques réseaux constatées auprès de 350 clients volontaires de Vectra. Le rapport « Attacker Behavior Industry Report » fournit des statistiques sur les comportements qu’utilisent les attaquants motivés pour se fondre dans les comportements de trafic réseau existants et dissimuler leurs actions malveillantes.
Entre janvier et juin 2019, la plate-forme Cognito de détection et de réponse aux menaces de Vectra a surveillé les métadonnées enrichies recueillies sur le trafic réseau de plus de 4 millions d’appareils et de charges de travail dans les environnements des entreprises, les datacenters et les environnements Cloud des clients. L’analyse de ces métadonnées permet de mieux comprendre les comportements des attaquants ainsi que les tendances et les risques encourus par les entreprises, pour aider les clients de Vectra à prévenir tout risque de violations de données.
Les commentaires sont fermés.