Estes Park Health. Residex Software. Groupe médical d'Olean. Système national de santé de Seneca. Centre de santé et de bien-être de Shingles Springs. Baltimore. Atlanta. Lake City. Riviera Beach. DataResolution. iNSYNQ. Olympia Financial Group. Écoles publiques de Broken Arrows. Hôpital communautaire de Wickenburg. Énergie de la ville de Johannesburg. Patrouille d'État de Géorgie. Aéroport international Hopkins de Cleveland. Département des transports du Colorado. Fédération de la police d'Angleterre et du Pays de Galles. Hexion. Momentive.
Voici quelques organisations qui ont été victimes d'attaques par ransomware en 2019. Ce qu'elles ont en commun, c'est qu'elles ont été jugées majoritairement susceptibles de payer une rançon pour éviter un arrêt opérationnel et la perte d'informations critiques. Toute organisation dont les attaquants pensent qu'elle paiera, et dans laquelle ils peuvent prendre un premier pied, est une cible potentielle. Pour compliquer les choses, les cybercriminels élargissent leurs attaques lorsqu'ils frappent. Ils ne cherchent plus à chiffrer des fichiers sur des appareils à utilisateur unique. Ils peuvent causer beaucoup plus de dégâts et gagner beaucoup plus d'argent en chiffrant de multiples serveurs de fichiers et bases de données.
Lorsque les ransomwares chiffrent les serveurs de fichiers et les bases de données, les enjeux deviennent beaucoup plus importants en termes de temps d'arrêt opérationnel et de perte de données. Les organisations touchées par une épidémie de ransomware se retrouvent dans une situation d'urgence où tout le monde est sur le pont et où il faut tout mettre en œuvre pour restaurer immédiatement les systèmes alors que les activités de l'entreprise sont prises en otage. Les temps d'arrêt s'aggravent lorsque la cible est un fournisseur de services cloud et que les systèmes cryptés sont ceux de ses clients. En 2019, les sociétés d'hébergement cloud DataResolution.net et iNSYNQ ont été touchées par des attaques de ransomware qui ont entraîné l'arrêt brutal des activités de plus de 30 000 clients.
Les ransomwares étaient peu connus avant 2014, lorsque les premières versions du logiciel ont commencé à circuler dans les organisations. Il a fallu environ un an aux attaquants pour affiner leur approche et leurs techniques d'attaque, ce qui a conduit à des attaques distribuées à l'échelle mondiale comme WannaCry en 2017. En 2019, les tactiques opportunistes des ransomwares ont évolué vers des attaques ciblées bien pensées avec des souches comme LockerGaga, Ryuk, MegaCortex, GrandCrab et Dharma. Ces nouvelles familles ciblées de ransomwares fixent la rançon en fonction de la capacité perçue de la victime à payer.
Par exemple, en peu de temps d'existence depuis août 2018, Ryuk a ciblé plus de 100 entreprises américaines et internationales, y compris des fournisseurs de services cloud comme DataResolution.net. CrowdStrike qualifie l'approche utilisée par Ryuk de "chasse au gros gibier", car les attaquants ont emporté des millions de dollars provenant d'un large éventail d'organisations victimes ayant des revenus annuels élevés. Et il ne s'agit que d'une seule souche de ransomware.
Les ransomwares modernes ont été fortement militarisés, ont un rayon d'action étendu et constituent un outil de base dans l'arsenal des attaquants. Dans un appel aux armes, cloud et les entreprises du monde entier s'efforcent de détecter les attaques de ransomware et d'y répondre rapidement.
Dans le rapport Spotlight 2019 sur les ransomwares, les chercheurs en sécurité de Vectra ont observé les comportements cachés des attaquants sur cloud et le trafic réseau de centaines de clients opt-in de janvier à juin 2019. Le rapport révèle qu'un type dévastateur d'attaque ciblée par ransomware - en particulier les tentatives de chiffrement de fichiers réseau partagés - a pris de l'importance à mesure que les cybercriminels étendent leur filet.
Heureusement pour nos clients, la plateforme Cognito de Vectra identifie les attaques de ransomware à un stade précoce du cycle de vie de l'attaque, bien avant qu'elles ne causent des dommages. Cela inclut tous les précurseurs et les signes d'une attaque ciblée avant que le cryptage des fichiers partagés sur le réseau n'ait une chance de réussir. Les données collectées sur une période de six mois montrent les secteurs d'activité qui ont connu le plus grand nombre de tentatives de cryptage de fichiers en réseau et où elles se sont produites géographiquement.
Au cours des six derniers mois, nous avons appris que la finance reste le secteur le plus visé, mais que tous les autres secteurs ont également été touchés.
Pour plus d'informations, je vous encourage à télécharger le rapport 2019 Spotlight Report on Ransomware et à jeter un coup d'œil à notre infographie sur les ransomwares, qui offre une visualisation frappante des principales conclusions du rapport.