Ransomware. C'est le nouveau croquemitaine numérique. Aux Émirats arabes unis, une enquête sectorielle réalisée en juin 2021 a montré à quel point le pays (et, par voie de conséquence, l'ensemble de la région) a été victime de ransomwares. Quelque 37 % des personnes interrogées ont déclaré en avoir été victimes au cours des deux années précédentes. Un nombre stupéfiant de 84 % d'entre eux ont choisi de payer la rançon, mais la plupart d'entre eux - 90 % de ceux qui ont payé - ont subi une deuxième attaque, souvent de la part des mêmes acteurs malveillants.
Ce qui est encore plus inquiétant, c'est que, particulièrement au cours de l'année dernière, le secteur a vu une augmentation des RansomOps. Alors que les attaques par ransomware suivent le modèle "spray and pray" (pensez à WannaCry), les RansomOps sont des attaques plus sophistiquées et très ciblées de type APT qui sont souvent associées à des États-nations, mais qui pourraient également être le modus operandi de mauvais acteurs cherchant à maximiser l'impact financier sur une cible spécifique. Au cours du seul mois de mai, il y a eu l'incident de l'US Colonial Pipeline, une attaque contre le ministère irlandais de la santé et un blitz DarkSide contre le distributeur allemand de produits chimiques Brenntag, au cours duquel la société a versé 4,4 millions de dollars. Plus récemment, l'offre d'administrateur de systèmes virtuels (VSA) de la société américaine Kaseya a été infectée par le ransomware REvil par le biais d'une attaque de la chaîne d'approvisionnement dans laquelle une mise à jour de routine a infecté plusieurs fournisseurs de services gérés et potentiellement des milliers de clients en aval.
Alors que les RSSI continuent de s'adapter à l'escalade du travail hybride, ils doivent faire face à des environnements multi-réseaux et à des machines personnelles non vérifiées, qui constituent tous deux des voies d'accès tentantes pour les ransomwares. À l'heure où vous lisez ces lignes, des milliers d'acteurs malveillants exploitent des souches éprouvées - ou conçoivent les prochaines variantes - de ransomware pour extorquer des sommes considérables à des cibles peu méfiantes. Ils prennent leur temps ; ils font le travail.
Ransomware 101
Les acteurs malveillants évaluent d'abord les entreprises potentielles à distance, en étudiant leur modèle d'entreprise et en déterminant dans quelle mesure les temps d'arrêt leur seraient préjudiciables. À partir de là, les attaquants évaluent la probabilité de paiement et calculent le montant optimal de la rançon. La pénétration elle-même peut être externalisée ou achetée "toute prête" sur le dark web pour seulement 300 dollars américains. Une fois à l'intérieur du périmètre de leur cible, les attaquants de ransomware poursuivent leur évaluation, évaluant les applications et les données à chiffrer. Puis vient la douleur.
Dans un monde numérique, le chiffrement total des processus et des fichiers signifie l'arrêt complet des opérations pour toute entreprise touchée par une telle campagne. Les équipes de sécurité entreront immédiatement en action, mais dans de nombreux cas, elles seront confrontées à une lutte acharnée. Elles doivent mettre fin à l'attaque en cours tout en rétablissant les opérations numériques. Ce n'est pas chose aisée. Il n'est pas non plus facile de déterminer la source de l'incursion pour éviter qu'elle ne se reproduise.
De plus, le paiement de la rançon ne garantit pas la livraison de la clé de chiffrement. En bref, les attaques de ransomware mettent davantage à l'épreuve les stratégies de continuité des activités de nombreuses organisations que n'importe quel autre aspect de leur dispositif de lutte contre les menaces. En l'absence de plans d'urgence extrêmement solides, les victimes de ransomwares subissent de longs temps d'arrêt, des pertes de données et des chocs financiers.
La voie de l'atténuation
La détection précoce est la clé de l'atténuation des dommages. Si les hôtes infectés sont isolés rapidement, les chasseurs de menaces peuvent se mettre au travail pour tuer les processus qui favorisent la réplication. Dans l'idéal, cette tâche devrait être confiée à des outils d'automatisation, car l'intervention humaine en temps réel ne permet guère d'endiguer la rapidité de propagation des ransomwares. Les plateformes qui supervisent l'ensemble du réseau sont les mieux placées pour prendre des décisions automatiques qui permettent de prévenir efficacement les dommages et les pertes.
L'une des principales stratégies de détection des ransomwares à l'échelle du réseau consiste à adopter une vue d'ensemble des comportements plutôt que de rechercher activement des variantes connues de ransomwares dans le trafic de paquets ou les processus. Cette stratégie est proactive et se concentre sur la découverte des activités de reconnaissance et de pénétration initiales des acteurs malveillants, plutôt que d'attendre que la charge utile soit déposée.
En outre, de solides politiques de gestion des identités peuvent contribuer à endiguer le phénomène si l'on veille à ce que seuls quelques privilégiés aient accès aux zones les plus sensibles de l'infrastructure informatique. Les rançongiciels doivent se contenter des informations d'identification délivrées à l'utilisateur ou à l'application qui leur a permis de se lancer. En outre, si une surveillance étroite de l'activité des comptes à privilèges élevés est mise en place, les équipes de sécurité peuvent agir plus rapidement pour empêcher une invasion de ransomwares.
Une nouvelle tactique de combat : la détection et la réponse aux menaces basées sur l'IA
Ces bonnes pratiques s'inscrivent dans une approche de la détection et de la réponse aux menaces fondée sur l'IA. En adoptant une approche comportementale de haut niveau pour résoudre le problème des ransomwares, nous abandonnons la tactique qui consiste à rechercher les ransomwares eux-mêmes. Les outils qui proposent cette approche procèdent à une analyse approfondie du trafic réseau et sont capables de suivre l'activité des attaquants dans les environnements sur site, dans les centres de données, dans les environnements IaaS et SaaS. Les modèles d'apprentissage automatique complètent déjà l'expertise des équipes de sécurité et donnent d'excellents résultats. Seuls ces modèles ont l'envergure et la puissance nécessaires pour accepter de gros volumes de télémétrie et les comparer à des océans de données historiques en temps réel afin d'identifier les activités à risque.
Ces plateformes de détection des menaces basées sur le comportement sont dédiées à la détection et à la réponse au sein de cloud, des centres de données, de l'IoT et des réseaux d'entreprise. La détection précoce, l'élimination des faux positifs et la réduction de la fatigue liée aux alertes sont des caractéristiques clés de la technologie, tout comme la validation des normes industrielles clés - telles que les normes de sécurité. MITRE D3FEND-, ce qui contribue à renforcer la confiance des clients d'une organisation.
Les ransomwares sont extrêmement rentables pour les cybercriminels et ne sont pas près de disparaître du paysage des menaces. Une détection rapide et précise - qui n'est actuellement possible qu'avec des approches de détection et de réponse aux menaces basées sur l'IA - sont les meilleurs alliés que les acteurs économiques régionaux puissent avoir dans cette lutte.