Croissance des ransomware : voici quatre façons dont les attaquants s’introduisent dans vos systèmes

Et voici comment les attaquants entrent dans vos systèmes d’information : dans près de la moitié (47%) des cas de demande de rançon sur lesquels Kroll a enquêté, les pirates ont utilisé le protocole de bureau à distance (RDP – Remote Desktop Protocol) ouvert, un outil qui a été utilisé par de nombreuses entreprises pour aider le personnel à travailler à domicile, mais qui peut aussi donner aux attaquants un moyen d’entrer s’il n’est pas correctement sécurisé.

Plus d’un quart (26 %) des cas ont été attribués à un courriel d’hameçonnage, et un plus petit nombre a utilisé des exploits de vulnérabilité particuliers (17 %), notamment – mais pas exclusivement – Citrix NetScaler CVE-2019-19781 et Pulse VPN CVE-2019-11510.

Ryuk, Sodinokibi et Maze sont les 3 variantes de ransomware qui posent le plus de problèmes

Kroll a déclaré que trois secteurs avaient été particulièrement touchés cette année : les services, la santé, et les télécommunications. Cela contraste avec les données récentes d’IBM, qui suggéraient que l’industrie manufacturière, le secteur des services professionnels et le secteur public étaient les plus susceptibles d’être touchés.

Ryuk, Sodinokibi et Maze sont les trois variantes de logiciels de rançon qui posent le plus de problèmes en 2020, selon Kroll, représentant 35% de toutes les cyber-attaques. Les ransomware ont tendance à passer par des périodes d’activité avant de redevenir silencieux, les développeurs s’efforçant de les mettre à niveau avant de reprendre l’action de piratage. Ainsi, Kroll a déclaré avoir vu une résurgence des attaques de type Ryuk récemment.

De nombreuses variantes de ransomware volent maintenant des données d’entreprise et menacent de les publier : plus précisément, en téléchargeant entre 100 Go et 1 To de données propriétaires ou sensibles pour maximiser la pression pour payer la rançon. Kroll a déclaré que 42% de ses affaires traitées avec une variante connue de ransomware étaient liées à un groupe de ransomware qui exfiltre et publie les données des victimes.

La promesse de supprimer les données après rançon n’est plus tenue

Dans certains cas, les pirates ont renié leurs promesses de supprimer des données après le versement de la première rançon et exigent désormais un second paiement. Les pirates peuvent également augmenter la pression de différentes manières : Maze prétend que les données d’identification recueillies auprès des victimes qui ne paient pas seront utilisées pour des attaques contre les partenaires et les clients des victimes. L’un des clients de Kroll dans le secteur de la santé a découvert que le pirate avait envoyé des courriels directement à ses patients, les menaçant d’exposer leurs données de santé personnelles.

Au-delà des rançons, Kroll explique que la compromission des courriers électroniques professionnels (BEC), restait une menace majeure pour les organisations et représentait 32 % des cas, suivie par l’accès non autorisé aux systèmes.

Devon Ackerman, responsable de la réponse aux incidents chez Kroll North America, explique : “Nous avons assisté à une augmentation prévisible des cyber-attaques jusqu’en 2020, car la pandémie COVID-19 a donné aux acteurs malveillants plus de possibilités de faire des ravages. L’évolution constante des créateurs de ransomware change constamment les objectifs de ceux qui tentent de défendre les données et les systèmes, la vigilance doit donc rester en tête de la liste des choses à faire pour les DSI”.

Déconnecter les  sauvegardes du réseau d’entreprise

Le meilleur moyen de protéger votre organisation contre les attaques est probablement de rendre l’accès initial plus difficile pour les pirates, ce qui signifie que des mesures de sécurité essentielles doivent être prises. Il s’agit notamment de bloquer tout accès RDP inutile, de sécuriser tous les accès à distance grâce à une authentification à deux facteurs, de veiller à ce que tous les logiciels soient patchés et mis à jour, et de s’assurer que le personnel est formé pour repérer les courriels de phishing.

Il est également recommandé d’avoir des sauvegardes à jour qui ne sont pas connectées au réseau de l’entreprise.