Les entreprises continuent d'être touchées par les ransomwares et, en réponse, elles dépensent plus d'argent, de ressources, d'énergie et de temps pour se défendre contre le volume et la complexité des attaques de ransomwares. Les opérateurs de ransomware ont rapidement évolué au cours des derniers mois et sont allés au-delà simplement chiffrer fichiers et des données. Jusqu'à présent, les entreprises sauvegardaient leurs données pour se remettre des attaques de ransomware qui provoquaient des interruptions d'activité de grande ampleur en chiffrant les fichiers et les données. Malheureusement, la sauvegarde des données n'est plus suffisante pour permettre aux organisations de se remettre de l'ensemble des dommages infligés par les attaquants de ransomware et, le plus souvent, ces dommages sont irréversibles.
Les acteurs de la menace s'engagent progressivement dans des attaques avancées et persistantes pour augmenter les gains monétaires d'une intrusion, d'un piratage ou d'une brèche et déploient des ransomwares pour mener des attaques allant au-delà du chiffrement des fichiers. Outre le chiffrement des fichiers, les attaquants mènent des opérations de reconnaissance pour trouver un large éventail d'informations sensibles sur l'entreprise en se déplaçant sur le réseau d'une organisation. Selon un rapport récent de Mandiant, les attaquants recherchent des données sensibles, notamment des accords de résiliation, des contrats, des dossiers médicaux et des certificats de chiffrement. Avant de crypter les données, les attaquants les exfiltrent en utilisant des canaux cryptés pour échapper aux défenses périmétriques qui sont difficiles à exploiter et à maintenir.
Ces violations de données donnent plus de pouvoir, de contrôle et d'influence aux acteurs de la menace et exposent une organisation à un risque immense et à des dommages irréparables. Les entreprises risquent de perdre la confiance des consommateurs, la réputation de leur marque et le moral de leurs employés, et sont passibles de dommages-intérêts légaux et punitifs et de recours collectifs. Les attaques par ransomware augmentent également les coûts opérationnels et réglementaires et ralentissent considérablement l'agilité et la compétitivité des entreprises qui sont propulsées par l'adoption de technologies numériques nouvelles et innovantes.
Les attaquants utilisent les données volées de manière perverse et utilisent des sites de fuite de données sur le dark web en utilisant des réseaux TOR ou des sites de médias sociaux comme Facebook pour nommer et couvrir de honte leurs victimes. Dans le cadre de leur attaque, les opérateurs de ransomware fournissent des échantillons de données volées de clients ou d'entreprises à des médias réputés et à des publications sur la technologie et la cybersécurité afin d'attirer l'attention et d'accroître leurs demandes.
Il est pratiquement impossible d'empêcher les fuites de données piratées et les dommages sont presque toujours irréversibles. CrowdStrike met en garde contre l'évolution des tactiques qui impliquent que les acteurs de la menace hébergent des données volées par d'autres acteurs de la menace, ce qui rendrait extrêmement difficile pour les victimes de négocier un accord viable et contraignant pour récupérer ou empêcher la diffusion des données volées.
Dans certains cas, les attaquants mettent en place des ensembles de données d'informations personnelles identifiables (PII) qui sont extraites du matériel volé et exacerbent la situation en publiant des données à un rythme régulier, ce qui renouvelle l'attention et la couverture des médias. Les attaquants poursuivent les employés internes en les appelant et en les harcelant, et font pression sur les organisations pour qu'elles divulguent les détails d'une violation en informant leurs partenaires commerciaux. Ces manœuvres coercitives affectent le moral des employés et engendrent la méfiance dans les relations d'affaires.
Alors, pouvez-vous prévenir les dommages causés par les ransomwares ?
Les acteurs de la menace des ransomwares continuent d'innover et d'évoluer. Ils peuvent recueillir diverses informations sensibles tout en exfiltrant des données après l'intrusion initiale, en se déplaçant librement dans le réseau d'une organisation, en effectuant une reconnaissance de l'environnement sur plusieurs mois/jours et en utilisant le chiffrement pour échapper à la détection. Selon le rapport M-TRENDS 2021 de Mandiant, 81 % des familles de logiciels malveillants nouvellement repérées n'utilisaient pas d'outils et de codes accessibles au public. Cela suggère fortement que les mesures préventives basées sur les signatures sont terriblement inadéquates et inefficaces pour se défendre contre les attaques de ransomware d'aujourd'hui. Une fois qu'ils ont franchi les outils de prévention, comment arrêter une attaque ?
Dans plus de la moitié des intrusions étudiées par Mandiant en 2020, les adversaires ont eu recours à l'obscurcissement, comme le chiffrement ou l'encodage, pour rendre la détection plus difficile. Les outils de sécurité traditionnels ont une visibilité limitée et s'appuient sur une liste prédéfinie de services, d'utilisateurs et d'applications de confiance sans valider en permanence si ces services de confiance se comportent normalement. Il est important de reconnaître que les attaquants mènent des attaques en plusieurs étapes qui vont bien au-delà de la compromission initiale. Cela inclut la persistance, l'escalade des privilèges, la reconnaissance et la découverte internes, le mouvement latéral, l'accès aux informations d'identification, le commandement et le contrôle, l'évasion des défenses, l'exfiltration, etc. Les experts de Mandiant ont observé que les attaquants utilisent 63 % des MITRE ATT&CK techniques parmi toutes les enquêtes sur les menaces à partir de 2020.
Les outils préventifs traditionnels offrent une couverture de sécurité limitée, lors de l'accès initial ou de la phase d'exfiltration d'une attaque, et l'opérationnalisation et la maintenance de ces outils requièrent un effort manuel permanent. En outre, ces outils sont manuels, basés sur des agents et sont connus pour provoquer des interruptions d'activité, ce qui limite encore leur efficacité en matière de sécurité.
Les organisations doivent faire face à la complexité de la surface d'attaque numérique, à la sophistication des opérateurs de ransomware, aux limites des outils de sécurité traditionnels et à la pénurie chronique de professionnels de la cybersécurité.
La plateforme Cognito de Vectra arrête les ransomwares
La solution de cybersécurité pilotée par l'IA & hautement performante de Vectra est utilisée par les organisations pour détecter et arrêter les ransomwares avant qu'ils ne causent des dommages irréversibles et permanents aux entreprises et aux clients.
Avec Vectra, vous pouvez arrêter les ransomwares avant qu'ils ne chiffrent les fichiers et exfiltrent les données, car la plateforme Cognito, sans agent et pilotée par l'IA, assemble continuellement et automatiquement des détections de faible fidélité dispersées dans le temps, à travers le réseau, à travers les comptes et les hôtes, et transforme et permet à vos équipes SOC d'arrêter avec succès les attaques sophistiquées de ransomwares.
Dans la vidéo suivante, je vais montrer comment la plateforme Cognito de Vectra surveille en permanence toutes les phases d'une attaque de ransomware et l'arrête avant qu'elle ne puisse chiffrer les fichiers et exfiltrer les données. La plateforme Cognito met automatiquement en évidence les comptes et les hôtes à risque, sur le réseau de l'entreprise et à l'adresse cloud, et suit le comportement des attaquants, notamment les communications Command & Control via des tunnels HTTPS chiffrés, les appels LDAP et RPC pour cartographier le réseau, la reconnaissance des comptes privilégiés et les appels RPC pour se déplacer latéralement sur un réseau plat.
La plateforme Vectra Cognito offre une visibilité complète sur le réseau numérique d'une entreprise, qui s'étend de l'on-prem à cloud, de l'hybride au multicloud, du bureau au travailleur à distance, de l'IaaS au SaaS et de l'IoT à l'OT, et surveille en permanence et automatiquement les menaces, les ransomwares et les attaquants à travers les multiples phases du cycle de vie d'une attaque. Vectra Cognito est une solution sans agent qui s'appuie sur une IA de pointe, toujours active et intelligente, capable de détecter et de stopper le volume et la sophistication des attaques de ransomware actuelles.
Découvrez comment vous pouvez mettre fin aux ransomwares dès aujourd'hui !