Le ransomware est l’une des attaques les plus sophistiquées et les plus redoutées des menaces actuelles.

Forme spécialisée de malware, le ransomware est conçu pour crypter de force les fichiers d’une victime.
L’attaquant exige alors un paiement de la victime en échange de la clé de déchiffrement pour restaurer l’accès aux données lors du paiement.
Les coûts peuvent aller de quelques centaines de dollars à des millions, en plus de la perturbation subie alors que les données restent inaccessibles.
Et même si la rançon est payée, rien ne garantit que la clé promise en échange de la rançon sera fournie.
La capacité d’une attaque de ransomware à rendre les données de sa victime inaccessibles en fait une menace bien plus grande que le simple vol de données, faisant de la protection contre les ransomwares une priorité absolue en matière de cyberdéfense pour chaque organisation.

Dans cet article, nous définirons les ransomwares, y compris la montée en puissance des tactiques d’exfiltration de données, et discuterons des récentes attaques de ransomwares contre des victimes telles que Garmin, Lion et The Toll Group.

Qu’est-ce qu’une attaque de ransomware?

Les attaques de ransomware peuvent être lancées de plusieurs manières.
L’une des plus courante est le phishing, par lequel un e-mail délivre une pièce jointe déguisée en fichier professionnel légitime.
Une fois celle-ci téléchargée et ouverte, souvent par une victime avec de bonnes intentions et ignorant la menace de la pièce jointe, le malware prend le contrôle de l’ordinateur de la victime et peut même utiliser des outils d’ingénierie sociale intégrés pour obtenir un accès administratif.
À ce stade, le ransomware peut se propager latéralement d’un ordinateur à un autre et finalement infecter l’ensemble du réseau.
Les formes les plus agressives de ransomwares, telles que Petrwrap / Petya, contournent complètement l’utilisateur et infectent les ordinateurs via des failles de sécurité existantes.

Une fois que le logiciel malveillant a pris le contrôle de l’ordinateur de la victime

L’étape suivante classique consiste à crypter tout ou une partie des fichiers sensibles de l’utilisateur et à redémarrer de force le système de l’utilisateur.
L’utilisateur est alors informé de l’exploit et est alors informé de la demande de rançon, généralement sous la forme d’un paiement Bitcoin intraçable, ainsi que d’une date limite de paiement.
Si l’organisation ciblée paie la rançon, la clé de déchiffrement sera fournie ou le plus généralement promis.
Auquel cas, les données resteront cryptées et inaccessibles.

Bien que tout type d’organisation puisse être la proie de ce genre d’attaque, les cibles de ransomware sont souvent sélectionnées en fonction de facteurs tels que leur vulnérabilité perçue identifiée, la sensibilité de leurs données ou leur désir d’éviter une publicité ou communication nuisible.

Par exemple, les universités ont tendance à avoir des niveaux inférieurs de protection contre les ransomwares et autres cyberdéfenses que les autres organisations et dispose d’un niveau élevé de partage de fichiers, ce qui en fait des proies relativement faciles pour une attaque de phishing.

Les villes et autres agences gouvernementales

Les villes et autres agences gouvernementales s’appuient sur des systèmes informatiques pour les services publics vitaux tels que l’application de la loi, les interventions d’urgence, les transports publics et le système judiciaire, augmentant la pression pour une restauration rapide de l’accès aux données.
Pour les hôpitaux et autres installations médicales, les données peuvent littéralement être une question de vie ou de mort.
Les institutions financières, les cabinets d’avocats et les grandes entreprises peuvent être disposés à payer rapidement pour éviter d’être associés à une attaque de ransomware et disposer des ressources pour le faire.

Dans un sens, les ransomwares peuvent représenter un danger encore plus important que le simple vol de données.
Alors que le vol de données peut être embarrassant et coûteux pour sa victime, les données qui ont été compromises restent accessibles.

Dans une attaque de ransomware, en revanche, les données ont effectivement disparu, rendant les opérations commerciales normales impossibles.

Comment l’exfiltration des données est-elle liée aux ransomwares et au vol de données?

Les attaques de ransomware continuent d’évoluer en termes de technologie et de technique.
Ces derniers mois, les experts en cybersécurité ont été alarmés par la convergence des ransomwares avec le vol et l’exfiltration de données pour créer une menace particulièrement pernicieuse.

L’exfiltration de données traditionnelle est elle-même un mélange de vol de données et d’extorsion.
Un pirate informatique compromet les défenses d’une organisation et exfiltre des données sensibles qui peuvent avoir de la valeur  tel que des dossiers financiers, propriété intellectuelle, données commerciales, etc.
Après avoir proposé les données à la vente sur le marché noir pour en établir la valeur, l’attaquant contacte alors la victime et demande un paiement pour empêcher une vente.
L’effet de levier de l’attaquant dans ce cas est le dommage important lié à la réputation de l’entreprise qui résulteraient de la publication des données même si celles-ci restent disponibles pour la victime.

Au cours de l’année en cours, des variantes de ransomware telles que Maze et DopplePaymer ont été utilisées pour ajouter la menace d’exfiltration de données à une attaque de ransomware.
Si une victime hésite à payer la rançon demandée, le hacker libère une partie des données pour communiquer sûr l’attaque et accroître la pression. Combinant les atteintes à la réputation du vol de données ou de l’exfiltration de données avec la perturbation opérationnelle d’une attaque de ransomware, ce type d’attaque peut être dangereusement efficace pour contrer l’utilisation des sauvegardes de données comme défense contre les ransomwares, comme le conseille le FBI .

Attaques de ransomwares en 2020

Des attaques majeures de ransomwares ont secoué la communauté de la cybersécurité en 2020.
Garmin, une grande entreprise de technologie avec des entreprises allant du GPS de l’aviation civile au fitness personnel, a subi une attaque de ransomware utilisant le fameux WastedLocker qui a gelé les services en ligne de l’entreprise pour des millions d’utilisateurs.
Des rapports ultérieurs ont suggéré que Garmin aurait payé une rançon allant jusqu’à 10 millions de dollars pour obtenir une clé de déchiffrement fonctionnelle.

Une attaque de ransomware contre Lion, un géant australien de boissons, a retardé les opérations de brassage de l’entreprise et limité sa communication sur ses produits.

La Rhode Island College Foundation et le Providence Children’s Museum ont tous deux été affectés par une attaque de ransomware contre Blackbaud, un fournisseur de services logiciels externe pour l’engagement et la collecte de fonds, qui aurait pu révéler des informations personnelles.

The Toll Group, une société de transport mondiale basée en Australie, a été touchée par un ransomware à deux reprises en moins de six mois.
Les attaques comprenaient le vol d’énormes quantités de données, y compris des rapports financiers et des factures, et ont entraîné plusieurs mois de perturbations opérationnelles.

Alors que la société avait initialement refusé de payer la rançon, la publication de ses données volées sur le Dark Web suggère que des tactiques d’exfiltration de données ont été mises en place.

Comment A10 Networks contribue à la protection contre les ransomwares

Une protection efficace contre les ransomwares dépend d’une visibilité complète du trafic chiffré et de l’arrêt de toute attaque cachée en périphérie du réseau.
A10 Networks Thunder® SSL Insight (SSLi®) permet le décryptage SSL et l’inspection SSL pour améliorer l’efficacité de l’infrastructure de sécurité existante et détecter les ransomwares, malwares et autres, cachés dans le trafic de cryptage.

Pour en savoir plus sur l’activation de la protection contre les ransomwares, contactez A10 Networks .

Source : A10 Networks