Face à l’escalade des attaques de ransomware, les secteurs public et privé sont appelés à revoir leurs dispositifs de sécurité. L’ère de la cyber-extorsion souligne l’importance d’une approche multi-facettes pour décrypter, détecter et déjouer les menaces, établissant ainsi un rempart contre les intrusions malveillantes.

Des attaques contre particuliers à la paralysie de gouvernements ou d’organisations d’envergure internationale, les ransomwares ont fait beaucoup parler d’eux ces dernières années. La menace qu’ils représentent semble aller crescendo, jusqu’à parfois menacer les services essentiels de notre société et mettre en péril la sécurité nationale. Pour les gouvernements, les entreprises, et les particuliers du monde entier, le défi est de taille. Lever le voile sur la manière dont les cybercriminels spécialistes des ransomwares tentent d’atteindre leur objectif devient alors crucial pour permettre une meilleure compréhension de ces attaques et être en mesure de les arrêter.

Les secteurs publics et privés désarmés face aux menaces

Les ransomwares, logiciels malveillants qui cryptent les données et exigent ensuite une rançon pour les récupérer, ont beaucoup évolué. Au fil des ans, les attaques sont devenues plus sophistiquées et dévastatrices, progressant en tandem avec la technologie. Dernière tendance en date, les cybercriminels ont recours à une double tactique d’extorsion qui consiste à chiffrer dans un premier temps les données de la victime et menacer ensuite de divulguer ces informations sensibles si la rançon n’est pas payée.

Si elles existent depuis une décennie, les attaques de ransomwares les plus récentes ont atteint un niveau sans précédent, ciblant infrastructures critiques et entités gouvernementales sans apparence de discernement. En 2022, LockBit a été le ransomware le plus largement déployé à l’échelle mondiale. En France, il s’est fait connaître à la suite de l’attaque contre le l’hôpital de Corbeil Essonnes et son activité demeure à ce jour soutenue. Toutefois, les cybercriminels ne ciblent pas uniquement le secteur public ; de nombreuses entreprises sont de plus en plus exposées à ces attaques qui menacent la sécurité de leurs données ainsi que celles de leurs clients.

Nul doute aujourd’hui que les ransomware dominent le paysage des cybermenaces et que les solutions de sécurité traditionnelles ne suffisent plus. La meilleure approche pour détecter et contrer ces attaques consiste à comprendre les schémas malveillants selon lesquels ils opèrent et à mettre en place des mesures de sécurité robustes.

Comprendre les phases d’attaque d’un ransomware pour mieux agir

Une attaque de ransomware typique comprend généralement sept phases distinctes. L’attaquant commence par une recherche passive ou active du réseau interne, puis obtient l’accès aux systèmes clés et davantage d’informations permettant d’accentuer la compromission. Il peut ainsi voler des données et des informations précieuses, désactiver les mécanismes de récupération des données, les crypter pour empêcher l’accès de la victime, conduisant enfin à l’extorsion de ces celles-ci. Cependant, toutes les attaques de ransomware ne suivent pas ces sept phases à la lettre. Certains cybercriminels utilisent des informations d’identification légitimes qui leur économisent les étapes de reconnaissance et d’accès initial, se concentrant directement sur l’escalade et l’exfiltration des données. D’autres peuvent décider de ne pas procéder au cryptage des données et à la prévention de la récupération, choisissant plutôt de faire pression sur la victime pour qu’elle paie une rançon, et dans ce cas la victime accepte le paiement afin d’éviter que ses données ne soient finalement mises en vente en ligne.

Privilégier une défense à multiples facettes

L’évolution rapide des menaces et particulièrement des ransomwares met en lumière la nature complexe des attaques. Il est évident que dans le contexte actuel, s’appuyer uniquement sur la protection traditionnelle des terminaux constitue une base plus qu’essentielle, mais elle doit être complétée par des technologies plus avancées.

Seule une défense à multiples facettes combinée à une approche en profondeur permet de véritablement contrer les cyberattaques. L’accès aux renseignements sur les menaces et à des solutions de pointe telles que le XDR s’imposent aujourd’hui pour toute organisation qui souhaite garder une longueur d’avance.

C’est bel et bien la synergie entre les technologies qui renforce les défenses et la sécurité d’une organisation, en tirant parti de l’analyse en temps réel, de la détection des anomalies et du renseignement sur les menaces pour identifier rapidement les acteurs malveillants et les empêcher de passer à l’attaque.

En intégrant le XDR aux contrôles de sécurité, les entreprises bénéficient d’une plateforme unifiée et centralisée qui combine la sécurité des terminaux, la surveillance du réseau et le renseignement sur les menaces. Cette approche globale permet aux équipes de sécurité de corréler et d’analyser les événements de sécurité sur plusieurs terminaux et couches de réseau, de faire remonter des schémas d’attaque sophistiqués qui pourraient autrement passer inaperçus. Les organisations sont ainsi en mesure de mieux détecter les attaques de ransomware et d’y répondre avec une plus grande efficacité.
____________________________

Par Adrien Vandeweeghe, Directeur France et Benelux de Trellix