Selon le dernier rapport Akamaï sur l’état de l’Internet (SOTI), dans un environnement avec de nombreux ransomware en pleine évolution où les adversaires cherchent à évoluer au-delà de la capacité de défense de leurs victimes, les groupes d’attaque modifient leurs techniques de phishing pour miser davantage sur l’exploitation des vulnérabilités de type “zero-day“.
L’exploitation des vulnérabilités s’est considérablement développée, à la fois en termes de portée et de sophistication, comme vous pouvez le voir plus en détail dans les précédant rapports de 2022, tels que “Slipping Through the Security Gaps” (Se faufiler entre les mailles du filet de la sécurité).
Les groupes de ransomware sont devenus plus agressifs dans leurs méthodes d’extorsion et d’exploitation des vulnérabilités, par exemple en développant en interne des attaques de type “zero-day” et des programmes de “bug bounty”.
Les groupes de ransomware sont prêts à payer pour l’opportunité d’un gain financier, que ce soit pour payer d’autres hackers pour trouver des vulnérabilités dans leurs logiciels, ou pour acquérir l’accès à leurs cibles par l’intermédiaire de courtiers d’accès initial (Initial Access Brokers – IAB).
Les attaquants changent de vitesse pour prendre l’avantage
Les attaquants changent également de tactique pour générer une valeur plus rentable.
Ils rencontrent plus de succès en s’éloignant de leur tactique d’extorsion initiale; le chiffrement et en concentrant davantage leurs efforts sur le vol de données afin de prendre l’avantage sur les organisations qui s’appuient sur leurs sauvegardes.
Cela permet également aux attaquants de recourir à d’autres tactiques d’extorsion, comme le harcèlement des clients ou des partenaires de la victime, par le biais de courriels ou d’appels téléphoniques, pour les inciter à encourager la victime à payer (figure 1).
Parmi les nouvelles techniques d’attaque figurent également le phishing d’email avec de nouveaux types de charge utile, les attaquants abandonnant l’utilisation de macros, l’utilisation d’informations d’identification volées et les compromissions de type “drive-by” (par l’intermédiaire d’un lecteur).
Aperçu de l’activité des principaux groupes de ransomware
L’analyse trimestrielle d’Akamaï montre des changements significatifs dans les principaux ransomwares (Figure 2).
Bien que LockBit domine toujours le paysage des ransomwares, CL0P s’est hissé à la deuxième place au 1er trimestre 2023.
Il s’agit d’un bond significatif par rapport à la 10e place du 4e trimestre 2022, qui peut être attribué au fait que CL0P exploite une variété de vulnérabilités de type ” zero-day ” comme points d’entrée.
De plus, nous pouvons observer que la plupart des menaces de ransomware ont intensifié leurs activités au début de l’année, ce qui s’est traduit par une augmentation notable du nombre de victimes ; d’autres ont maintenu leur classement dans le top 4, comme c’est le cas d’ALPHV et de Royal.
Comment les courtiers d’accès initial s’intègrent-ils dans les modèles commerciaux RaaS ?
Il convient également de noter que nous continuons d’assister à une spécialisation de certains groupes criminels se concentrant sur le rôle de BAI.
Ces groupes de cybercriminels sont chargés de vendre l’accès au réseau de l’entreprise aux auteurs d’attaques par ransomware, ainsi qu’à d’autres groupes.
Ils abaissent ainsi le niveau d’expertise et réduisent le temps nécessaire pour lancer des attaques contre les cibles visées.
Ce Ransomware As A service (RaaS), combiné à l’expansion des modèles d’extorsion, a donné lieu à des campagnes plus fructueuses.
Prise en otage de données volées
En fait, nous avons assisté à une évolution du chiffrement traditionnel vers la prise en otage des données volées.
Les criminels disent même aux clients des victimes qu’ils ont volé leurs données et les encouragent à demander à l’entreprise victime de payer la rançon.
Ils exercent ainsi une pression supplémentaire sur l’organisation victime pour qu’elle paie la rançon.
De plus, nous avons vu certains attaquants incorporer une attaque par déni de service distribué (DDoS) pour submerger les moyens de défense pendant l’attaque.
Aucune cible n’est trop petite
Lorsque nous examinons les victimes en fonction de leur chiffre d’affaires, nous constatons que les petites entreprises sont très exposées au risque de ransomware, plus de 60 % des victimes analysées se situant dans la catégorie des petites entreprises (jusqu’à 50 millions de dollars), ce qui prouve que les attaquants réussissent également à lancer des attaques contre les petites entreprises.
Toutefois, il ne faut pas oublier qu’un nombre important (12 %) des organisations victimes se situent dans la catégorie des revenus plus élevés (501 millions de dollars américains et plus).
Les industries critiques sont exposées à un risque élevé
En termes de répartition sectorielle, les industries critiques, en particulier l’industrie manufacturière, présentent un risque élevé de ransomware (figure 3).
Ce risque accru est dû à la pléthore d’anciens logiciels commerciaux déployés sur divers sites de fabrication et de chaîne d’approvisionnement, y compris sur des équipements opérationnels, des capteurs et d’autres points finaux connectés, des voitures connectées aux usines chimiques.
Ce risque élevé est également observé dans les données du rapport, où le nombre d’entreprises manufacturières touchées a augmenté de 42 % entre le quatrième trimestre 2021 et le quatrième trimestre 2022.
Réglementations de l’OFAC à signaler
Il convient notamment de noter que les réglementations appliquées par l’Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis peuvent rendre illégal le paiement d’une rançon à certaines parties ou personnes.
Les organisations qui ignorent les nombreux impacts potentiels des attaques de ransomware et du vol de données peuvent être confrontées à la décision difficile d’enfreindre les réglementations de l’OFAC lorsqu’elles cèdent à des demandes de rançon.
Recommandations
Le rapport SOTI d’Akamaï fournit des recommandations détaillées selon les différentes étapes de l’attaque, voici quelques-unes des recommandations générales :
– Avoir une bonne compréhension de votre surface d’attaque
– Disposer de processus et de règles solides
– Surveillez votre trafic sortant pour détecter les indicateurs de compromission (IOC).
– Veillez à ce que votre équipe juridique suive la législation
– Apporter des correctifs, former et protéger
Tout d’abord, comprenez bien votre surface d’attaque (et réduisez-la autant que possible).
Les API malveillantes, les systèmes existants et les systèmes internes qui ne sont pas surveillés ou segmentés présentent tous un risque élevé.
Deuxièmement, il faut disposer de processus et de règles solides qui ont été validés par des exercices tels que le “red teaming”.
Si vous souhaitez utiliser des groupes tels que CL0P pour guider la red team, vous pouvez vous utiliser MITRE; et n’oubliez pas de consulter l’outil Navigator pour obtenir des graphiques.
Ensuite, assurez-vous que vous surveillez le trafic sortant à la recherche d’intrusions.
Vous voulez détecter à la fois les données exfiltrées et les communications de commandement et de contrôle.
Ensuite, veillez à ce que votre équipe juridique suive la législation sur le paiement des ransomwares afin de vous assurer que votre plan est complet et conforme.
Enfin, les principes de base sont toujours essentiels : les correctifs, la formation des employés et les sauvegardes protégées sont toujours importants.
Vous pouvez également vous appuyer sur l’Agence pour la cybersécurité et la sécurité des infrastructures et sur votre Centre d’analyse et de partage de l’information pour obtenir des informations sur les meilleures pratiques.
Pas d’interruption dans le processus de défense
Il ne faut pas cesser de se défendre pour faire face à une intrusion.
Une attaque DDoS peut en masquer une autre et vous pouvez être frappé par une deuxième attaque de ransomware pendant que vous faites face à une attaque ou que vous êtes occupé à gérer la première.
En savoir plus
En plus des résultats mondiaux, le rapport complet de SOTI présente les tendances en matière de ransomware par région : Asie-Pacifique et Japon (APJ), et Europe, Moyen-Orient et Afrique (EMEA).
Pour en savoir encore plus, restez connecté aux dernières recherches de Guardicore d’Akamaï en consultant le Security Research Hub.
Source : Akamai Guardicore
Pour plus d’informations concernant les solutions GuardiCore
