ransomware

L’état des ransomwares 2021

Ce mois-ci, un grand nombre de reportages se sont concentrés sur les prévisions de menaces de cybersécurité pour 2021. Sans surprise, l’augmentation continue et la complexité des ransomwares figurent en bonne place dans presque toutes ces prévisions, la principale prévision étant que ces attaques vont très probablement augmenter cette année.

Cette augmentation probable n’est pas seulement due aux profits intéressants qui peuvent être réalisés, mais aussi au fait que le crime est alimenté par un modèle émergent de ransomware-as-a-service qui permet aux cyberacteurs moins compétents de louer des logiciels malveillants à ceux qui sont plus compétents et expérimentés.

Il est intéressant de noter qu’au début de l’année 2020, le nombre d’attaques par ransomware était en fait en baisse, car les cybercriminels ont modifié leur « modèle commercial » initial, passant du ciblage de plusieurs individus et de la demande de petites rançons (d’environ 200 à 400€) à celui de grandes entreprises et de rançons de plusieurs millions d’euros.

À titre d’exemple, l’année dernière, Travelex a été mis hors ligne par une attaque du groupe de ransomware REvil et la société aurait payé 2,3 millions de dollars pour restaurer ses systèmes et obtenir l’assurance que les attaquants ne divulgueraient pas les données volées (il est important de noter que la demande initiale était de 6 millions de dollars).

La société Garmin, spécialisée dans la technologie GPS et les trackers de fitness, a également été touchée après avoir reçu une demande de 10 millions de dollars. Les experts en sécurité ont largement rapporté que Garmin a payé une rançon pour restaurer ses systèmes, mais il n’y a pas eu de rapport officiel sur le montant qu’ils ont effectivement payé).

Les attaques sont-elles toujours en augmentation ?

Il y a deux raisons principales pour lesquelles le nombre d’attaques a augmenté en 2020 : la première est que le ransomware « double deal » s’est avéré être une méthode très efficace pour garantir le paiement d’une rançon, et la seconde est que l’épidémie de COVID-19 a fourni un certain nombre de nouvelles opportunités d’attaque pour les cybercriminels ; La soif d’informations des gens sur des sujets tels que la propagation de COVID-19, les plans de congé, les mises à jour de Zoom, Netflix, etc., a fourni aux criminels un vaste éventail de sujets qu’ils pouvaient utiliser comme appât dans des messages de spear phishing infectés par des ransomwares.
Attendez !

Qu’est-ce qu’un ransomware « double deal » ?

Les organisations ayant tenu compte des conseils de sécurité relatifs à la protection contre les ransomwares, un nombre croissant de victimes ont pu se remettre des attaques sans avoir à payer la rançon. Il est clair que cela n’est pas bon pour les activités criminelles. C’est pourquoi un nouveau modèle de ransomware « double deal » (alias double extorsion) a vu le jour.

Avant de crypter les données d’une victime, les attaquants de la double extorsion exfiltrent également (c’est-à-dire volent) les données de la victime et menacent de les publier sur les médias sociaux et via des « sites de fuite ».

Il s’agit d’une évolution très importante car, même si la victime dispose de sauvegardes adéquates pour atténuer les effets d’une attaque conventionnelle, pour de nombreuses entreprises, la menace d’une atteinte à la réputation peut être exploitée pour les contraindre à payer la rançon.

De même, le risque que l’attaque devienne publique a également des implications juridiques et de conformité potentielles pour l’organisation, ce qui peut l’obliger à payer. Les criminels ont ainsi deux chances d’extorquer de l’argent, et nous pensons que les attaques de cette nature seront plus nombreuses en 2021.

Comment puis-je protéger mon organisation ?

Les mesures d’atténuation traditionnelles s’appliquent toujours :

  • Patching de vos systèmes – Assurez-vous que vous avez mis en place un régime de patchs réguliers pour maintenir les versions des logiciels à jour avec les derniers correctifs de sécurité (la raison pour laquelle le NHS a été si durement touché par le ransomware WannaCry en 2017 est qu’il n’avait pas patché ses systèmes Windows avec les dernières mises à jour de sécurité qui les auraient protégés de WannaCry).
  • Sauvegardez vos données critiques – Veillez à ce que votre organisation effectue des sauvegardes régulières des données critiques afin de pouvoir les restaurer sans avoir à payer de rançon si un attaquant de ransomware parvient à crypter vos données ou votre réseau.
  • Sensibilisation du personnel – Sensibilisez votre personnel afin de prévenir toute infection (les personnes sont le maillon le plus faible de la chaîne de cybersécurité et on estime qu’environ 90 % des cyberattaques commencent par un employé qui clique sur un lien ou une pièce jointe qu’il ne devrait pas utiliser).

Faire face aux menaces de double extorsion

En ce qui concerne la double extorsion, la prévention est essentielle car cette approche annule effectivement la possibilité pour les victimes de restaurer leurs données et leurs systèmes sans avoir à payer de rançon.

Les organisations peuvent aider à faire face à la grande majorité des attaques potentielles en s’assurant qu’elles disposent d’une main-d’œuvre sensibilisée à la cybercriminalité, capable d’identifier et de traiter les courriels d’hameçonnage suspects, tout en faisant en sorte que les comptes en ligne nécessitent une authentification à deux facteurs pour y accéder.

La grande question : Dois-je payer ?

Le conseil officiel reste que les victimes ne doivent pas payer. Non seulement cela alimente le modèle commercial éprouvé et récompense les criminels, mais il n’y a aucune garantie que ces derniers rétabliront l’accès à vos données ou supprimeront les données volées qu’ils pourraient avoir.

Cependant, il semblerait que certaines victimes choisissent de payer des rançons car il peut être moins coûteux (et beaucoup plus rapide) de payer pour rétablir l’accès plutôt que de tenir bon et d’essayer de restaurer les systèmes en faisant appel à des équipes de réponse aux incidents, en achetant et en configurant de nouveaux équipements informatiques, etc.

Un autre facteur clé dans cette décision est de savoir si l’entreprise a effectivement une police d’assurance cybernétique qui la couvre contre les attaques de ransomware.

Nous ne recommandons pas de produit ou de police en particulier à nos clients, mais nous conseillons aux organisations d’examiner attentivement leur assurance cybernétique, car il existe de nombreux cas en cours où les victimes ont essayé de réclamer des rançons sur leurs polices, mais où les compagnies d’assurance refusent de payer pour des raisons contestées.

Un cas notable est celui de Zurich Insurance qui refuse de verser une indemnité d’assurance de 100 millions de dollars à un conglomérat alimentaire américain, Mondelez, parce que les attaques NotPetya qui ont nui à l’entreprise ont été considérées comme un acte de guerre.

L’assurance peut fournir un certain degré de réassurance contre les attaques de ransomware, mais les polices doivent être choisies avec soin en fonction du budget disponible et des exigences organisationnelles spécifiques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *