Il semble que chaque jour, une nouvelle variante ou une nouvelle victime de ransomware fasse la une de l'actualité. Ils font parler d'eux parce qu'ils fonctionnent très bien et provoquent des destructions massives.
Aussi, lorsque la récente vague d'articles sur PetrWrap, une variante de la souche de ransomware Petya largement connue, a été diffusée, il a été facile de ne pas en saisir l'importance. Le discours sur les "voleurs qui n'ont pas d'honneur" a occulté sa véritable importance.
Les ransomwares sont devenus une activité commerciale importante et on estime qu'ils ont rapporté plus d'un milliard de dollars en 2016. L'innovation en matière de modèles d'entreprise a stimulé la croissance, notamment en mettant l'accent sur les hôpitaux - dontles données des patients sont essentielles et quidépendent des technologies de l'information - en tant que cibles les plus lucratives.
Bien que les campagnes de diffusion aient été ciblées, les attaques de ransomware avaient jusqu'à présent essentiellement le même comportement :
- Ils étaient automatisés et opportunistes.
- Ils ont été diffusés par le biais de campagnes phishing ou de méthodes de distribution de kits d'exploitation, et se sont propagés rapidement.
- Ils ont crypté sans distinction, que ce soit des données ou des enregistrements de démarrage. Parfois, des données importantes étaient cryptées, parfois des données sans valeur.
Mais la vraie nouvelle, c'est que PetrWrap n'est pas automatisé. Historiquement, les ransomwares ont réussi à s'implanter à grande échelle dans des campagnes d'attaques opportunistes sans que l'attaquant ait besoin d'être hautement qualifié.
Au contraire, PetrWrap est utilisé dans le cadre de campagnes d'attaques ciblées et exploité par des acteurs qualifiés. Imaginez que des attaquants avancés se déplacent furtivement dans votre réseau et ne trouvent que les actifs les plus critiques - systèmes et données - à prendre en otage. Combien paieriez-vous pour éviter ce niveau de perturbation de votre activité ?
C'est pourquoi PetrWrap est important. L'outil de base permettant de prendre en otage les systèmes et les données est le même. Mais l'application et le modèle d'entreprise sont totalement différents.
PetrWrap indique que des acteurs plus avancés entrent dans le jeu de l'extorsion, ce qui laisse présager une nouvelle innovation dangereuse dans le modèle économique des ransomwares. Il ne s'agit plus seulement du vol de vos secrets commerciaux et des données critiques de vos clients. Il s'agit d'un coup de pied paralysant dans votre capacité à faire fonctionner votre infrastructure informatique et votre entreprise.
Si nous ne trouvons pas le moyen d'empêcher 100 % des attaquants d'entrer, nous devons nous améliorer considérablement dans la détection des comportements de leur réseau interne avant qu'ils ne causent des dommages.
Chaque entreprise devrait avoir une stratégie pour atténuer les risques de ransomware, y compris de faux partages et de bonnes sauvegardes. Il est d'autant plus important aujourd'hui de disposer d'une solution de sécurité qui détecte les attaquants cachés pendant qu'ils recherchent vos actifs clés, bien avant que vous ne soyez pris en otage.
Vectra détecte les comportements des attaques de ransomware au sein de votre réseau et offre aux équipes de sécurité de multiples possibilités d'alerte précoce en exposant les actions néfastes - y compris le trafic de commande et de contrôle, le balayage du réseau et la propagation de malware- qui précèdent le chiffrement des données d'entreprise et des enregistrements de démarrage.
Pour en savoir plus, consultez ce livre blanc pour comprendre comment votre organisation peut élaborer une stratégie efficace pour lutter contre les attaques de ransomware.