Malgré les alertes, les innovations des solutions de sécurité, la formation des équipes et la sensibilisation des collaborateurs, rien ne semble pouvoir arrêter le phénomène des ransomwares : Les ennemis publics n°1 de la cybersécurité ne cessent de se perfectionner et de rapporter toujours plus de dollars à l’économie criminelle.

1,1 milliard de dollars. C’est la somme d’argent engrangée par les cybercriminels en 2023 selon l’analyste de blockchain Chainalysis, qui a révélé les profits records de l’ensemble de la scène cybercriminelle dans le monde. L’industrie du ransomware engrange désormais assez de fonds pour se permettre des investissements massifs pour identifier de nouvelles techniques d’attaques et veiller au bon fonctionnement de leurs structures.

Ni les tentatives de sanctions du gouvernement américain l’année dernière ni les succès des enquêtes menées contre un certain nombre de groupes de ransomware n’ont pu empêcher des paiements records.

La pression monte sur les entreprises

Si la technique du ransomware a débuté par le chiffrement de fichiers, l’origine de l’idée de rançon remonte au cheval de Troie AIDS de 1989, qui exigeait le transfert d’une modeste somme de 189 dollars américains vers une boîte postale au Panama afin de recevoir la clé de déchiffrement. Jusqu’en 2010, ce type d’attaque représentait essentiellement une niche, car le paiement de la rançon ne pouvait pas être facilement mis en œuvre. L’essor des cryptomonnaies a marqué un tournant pour les ransomwares, facilitant le paiement à distance, et sans trace, de la rançon.

Après le chantage « simple » pour récupérer leurs données, les entreprises sont désormais confrontées à un double chantage : les données sont d’abord exfiltrées du réseau de l’entreprise puis chiffrées, et si la victime ne paie pas la rançon pour les déchiffrer, elle est à nouveau menacée de les voir publiées en ligne.

Ensuite, les cybercriminels ont trouvé de nouveaux moyens d’exercer une pression encore plus forte sur les victimes : le triple chantage. Non seulement les données sont chiffrées, puis les entreprises sont menacées de publication, mais les cybercriminels ajoutent une pression supplémentaire pour soutirer de l’argent en harcelant directement toutes les personnes dont les données ont été volées.

Récemment, les groupes de ransomware ont même impliqué les autorités dans leurs tactiques. Afin de promouvoir la transparence dans la notification des cyber incidents, les régulateurs introduisent des règles beaucoup plus strictes en matière de notification des violations, comme le fait, par exemple, la Securities and Exchange Commission (SEC) aux États-Unis. Peu de temps après la publication de cette nouvelle obligation de notification, le premier cas de quadruple extorsion s’est produit. Après les opérations habituelles de chiffrement, d’extorsion et de menace de publication des données, le groupe de cybercriminels impliqué a menacé de dénoncer l’organisation victime à la SEC pour n’avoir pas respecté l’obligation de notification des cyberattaques réussies !

Toutes ces nouveautés ont considérablement accru la pression exercée sur les organisations pour qu’elles paient des rançons. Aussi, il est impossible de ne pas mentionner ce qui s’impose désormais comme une évidence : l’utilisation de l’IA générative par les gangs de ransomware a rendu beaucoup plus difficile la détection du phishing. Et l’évolution de l’ensemble du secteur des ransomwares vers un modèle de ransomware en tant que service (RaaS) est source de nouvelles angoisses.

Grâce aux économies d’échelle de la plateforme RaaS et à ses milliers d’abonnés payants, ses opérateurs peuvent désormais se permettre d’exploiter les vulnérabilités beaucoup plus rapidement que ne le peuvent les organisations dotées du système de gestion des vulnérabilités le plus efficace. Les plateformes RaaS ont également permis à un grand nombre de nouvelles entités de mener des attaques par ransomware, car ces « affiliés » n’ont plus besoin de disposer de l’expertise technique requise pour mener les attaques.

Des tests en conditions réelles négligés dans les entreprises

Si les attaques par ransomware ont bien évolué depuis leurs débuts, qu’en est-il de l’autre côté des murailles de cyberdéfense des entreprises ?

De nombreuses équipes d’exploitation informatique et administrateurs de sauvegarde se préparent aux cyber incidents comme ils le feraient pour un scénario de continuité des activités ou de reprise après sinistre. Ce type d’incidents est généré par un nombre limité de causes qui peuvent être rapidement identifiées, de sorte qu’il est facile d’orchestrer et d’automatiser les efforts de réponse et de reprise.

La question est beaucoup plus complexe avec les ransomwares, puisque nous avons affaire à un adversaire qui s’adapte constamment, et il faut tout d’abord bien comprendre l’incident avant d’y réagir : quelles personnes et organismes devons-nous prévenir en fonction des données exfiltrées ? Quels contrôles manquaient ? Ont-ils été contournés ou n’ont-ils pas réussi à arrêter ou à détecter l’attaque ? Est-ce que le ransomware peut se propager dans d’autres systèmes ?

Répondre à toutes ces questions lorsque les communications, les outils de sécurité et les sauvegardes ont été compromis par le ransomware est un véritable défi. Il est impossible d’utiliser des agents de sécurité pour enquêter lorsque vous avez mis votre réseau en quarantaine pour contenir la propagation du ransomware, ou d’essayer de classer les données touchées pour déterminer les exigences en matière de rapports après qu’elles ont été chiffrées. De nombreuses organisations pensent que leur temps de réponse à un cyber incident dépend de la vitesse du disque, et de la solution de récupération, mais elles oublient souvent de prendre en compte le temps que mettra l’humain à réagir et prendre les bonnes décisions au bon moment.

La préparation aux ransomwares est le facteur de réussite le plus important qu’une organisation puisse envisager pour accroître sa cyber résilience en s’assurant que ses processus de réponse et de récupération sont efficaces.

Les leçons qui peuvent être tirées de la participation à un exercice de simulation réaliste mené par des personnes ayant réellement fait face à un cas avéré de ransomware n’ont pas de prix. Elles représentent pour les décideurs d’entreprise une occasion parfaite de simuler et d’expérimenter en conditions réelles une attaque par ransomware. Elles leur permettent de vérifier s’ils sont suffisamment préparés, ou si au contraire, il reste des lacunes à combler et d’identifier les mesures à mettre en œuvre pour y remédier.
____________________________

Par François-Christophe Jean, Directeur Technique France chez Cohesity

 

À lire également :

Dans la tête d’un hacker ransomware en 2024

Ransomwares : les entreprises peuvent-elles gagner la bataille ?

Ransomware, autopsie d’une menace qui déstabilise…

Groupes de pirates Ransomware : sont-ils seulement motivés par l’appât du gain ?

5 idées fausses à propos des ransomwares…

Quelles sont les incidences juridiques d’une attaque par ransomware ?

Sauvegarde et stockage : apporter des améliorations mineures aux anciennes technologies ne suffira pas.