Il n'y a pas si longtemps, les ransomwares étaient avant tout une menace non ciblée, opportuniste et à propagation rapide. En 2017, WannaCry et son réseau Server Message Block (SMB) worm vulnérabilité, EternalBluea provoqué l'une des épidémies de ransomware les plus importantes de l'histoire. Il s'est propagé à l'échelle mondiale à la vitesse d'une machine, infectant plus de 230 000 hôtes dans plus de 150 pays. Si les dégâts causés par WannaCry ont été importants - en particulier pour des organisations telles que le National Health Service (NHS) du Royaume-Uni, dont les coûts se sont élevés à plus de 73 millions de livres sterling (95 millions de dollars américains) - les attaquants n'ont réussi à empocher qu'environ 621 000 dollars américains en bitcoins, un gain relativement faible par rapport aux perturbations qu'ils ont causées.
Depuis lors, les ransomwares ont évolué, passant d'une approche à haut volume et sans discernement - souvent appelée "spray and pray" - à un modèle commercial plus ciblé et à plus faible volume. Les attaques de ransomware d'aujourd'hui ne sont plus basées sur un seul élément monolithique de malware. Au contraire, les ransomwares modernes ont tendance à être modulaires, développés par des criminels compétents ou vendus via des plateformes de ransomware en tant que service (RaaS). Cette évolution a permis aux groupes de ransomware d'opérer au sein d'un écosystème sombre et organisé, avec des chaînes d'approvisionnement pour les composants et les services, ressemblant à des structures commerciales légitimes.
La capacité à s'adapter rapidement et à se transformer a rendu les méthodes de détection traditionnelles basées sur des signatures statiques de plus en plus inefficaces. Par conséquent, les équipes de sécurité doivent se concentrer sur l'identification des comportements et des tactiques utilisés par les attaquants avant que le chiffrement ne commence. Cela est d'autant plus important que les groupes de ransomwares actuels, tels que LockBit et Contiutilisent une double tactique d'extorsion: ils ne se contentent pas de chiffrer les données, ils les exfiltrent également en menaçant de divulguer des informations sensibles si la rançon n'est pas payée.
La nature complexe et prolongée des attaques modernes de ransomware
Contrairement aux attaques précédentes, les campagnes de ransomware d'aujourd'hui - illustrées par des groupes comme Maze - sontmultiformes et se déroulent sur de longues périodes. Les attaquants procèdent à la pénétration initiale, à la reconnaissance et à l'exfiltration des données bien avant le début du chiffrement. Ce délai prolongé permet aux défenseurs de détecter la menace et d'y répondre, à condition qu'ils sachent où et comment regarder.
Caractéristiques d'une attaque par ransomware
Sélection des cibles et reconnaissance
Les attaquants commencent généralement par recueillir des informations sur les victimes potentielles à l'aide de renseignements provenant de sources ouvertes (OSINT). Ils évaluent la capacité de la cible à poursuivre ses activités sans ses données essentielles et la probabilité qu'elle paie une rançon. Les attaquants calculent le montant de la rançon en fonction du "seuil de douleur" perçu par la victime, c'est-à-dire le prix auquel elle préférerait payer plutôt que de subir les conséquences d'un non-paiement.
Accès Initial
La compromission initiale se produit souvent par le biais de campagnes phishing , en exploitant des vulnérabilités connues, ou par l'intermédiaire de courtiers d'accès initial (Initial Access Brokers - IAB). Ces courtiers se spécialisent dans la vente d'accès à des réseaux compromis sur les marchés du dark web pour une somme aussi modique que 300 dollars.
Reconnaissance interne et escalade des privilèges
Une fois à l'intérieur d'un réseau, les attaquants passent du temps à identifier les systèmes critiques et à obtenir des privilèges plus élevés. Cette phase peut durer des jours, voire des semaines, car les attaquants recherchent des fichiers à exfiltrer et à exploiter pour une double extorsion. Ce n'est qu'une fois cette reconnaissance interne terminée que les attaquants lancent le ransomware, chiffrant les fichiers à travers le réseau.
Double extorsion
Dans de nombreux cas, les attaquants ne se contentent pas de crypter les données de la victime, mais volent également des informations sensibles. Si la victime refuse de payer la rançon, les attaquants menacent de divulguer ou de vendre les données volées en ligne, ce qui peut entraîner des sanctions réglementaires, une atteinte à la réputation et d'autres pertes financières.
Demande de rançon et négociation
Les groupes de ransomware fournissent des notes de rançon détaillées, orientant souvent les victimes vers des portails de négociation dédiés, hébergés sur le dark web. Dans certains cas, les groupes de ransomware proposent même une assistance à la clientèle pour s'assurer que les victimes peuvent effectuer les paiements de manière efficace.
Les coûts croissants des ransomwares
Lorsque les organisations sont touchées par une attaque de ransomware, elles sont confrontées à une paralysie opérationnelle immédiate. Les systèmes critiques sont pris en otage et les équipes de réponse aux incidents doivent se démener pour stopper la propagation de l'attaque et restaurer les systèmes. Même si l'organisation est prête à payer la rançon, rien ne garantit que les attaquants fourniront une clé de décryptage valide. Les fichiers qui ne peuvent pas être décryptés devront être restaurés à partir de sauvegardes, ce qui risque d'entraîner une perte de données depuis la dernière sauvegarde et un temps d'arrêt prolongé.
L'impact des ransomwares s'est accru en termes d'ampleur et de coût. Aujourd'hui, les attaques ne se limitent pas au cryptage de fichiers : elles impliquent le vol de données, des perturbations opérationnelles, des atteintes à la réputation et des amendes réglementaires. Selon un rapport de rapport 2023 de Covewarele montant moyen des rançons payées a atteint 408 644 dollars, ce qui souligne la charge financière croissante que les ransomwares font peser sur les entreprises.
Atténuer les attaques de ransomware et y répondre
Pour atténuer efficacement les effets d'une attaque, il faut comprendre les schémas d'attaque des ransomwares et être capable d'agir rapidement pendant le cycle de vie de l'attaque. Une détection et une réponse précoces peuvent réduire considérablement l'impact d'une attaque par ransomware.
Isolement rapide des hôtes
Dès qu'un hôte infecté est identifié, il est essentiel de l'isoler immédiatement. Pour ce faire, il faut mettre en quarantaine les systèmes compromis, les retirer du réseau et arrêter tous les processus impliqués dans la propagation du ransomware. Dans de nombreux cas, des outils d'automatisation, tels que les plateformes d'orchestration, peuvent êtreutilisés pour isoler les systèmes rapidement et efficacement.
Contrôle de l'accès privilégié
Les rançongiciels ne peuvent s'exécuter qu'avec les privilèges de l'utilisateur ou de l'application compromis. La surveillance des comptes ayant accès aux systèmes critiques permet aux équipes de sécurité de détecter rapidement tout comportement anormal et d'empêcher le ransomware de crypter les fichiers. Une connaissance approfondie des accès privilégiés peut aider à empêcher les attaquants de se déplacer latéralement sur le réseau et d'élever leurs privilèges.
Détection basée sur le comportement
Les attaques modernes par ransomware impliquent plusieurs activités précurseurs, telles que la reconnaissance interne, le mouvement latéral et l'exfiltration de données. Plutôt que de se concentrer uniquement sur l'identification de variantes spécifiques de ransomware, les équipes de sécurité devraient surveiller les comportements immuables des attaquants dans le trafic réseau. Cette approche de détection basée sur le comportement est plus proactive et permet aux équipes de détecter les premières étapes d'une attaque avant que le chiffrement ne commence.
Intelligence artificielle (IA) et automatisation
Avancées en matière de solutions de sécurité pilotées par l'IA transforment la détection et la réponse aux ransomwares. L'IA peut analyser des quantités massives de données réseau pour repérer des indicateurs subtils de comportements de ransomware que les humains ou les outils traditionnels pourraient manquer. En renforçant les équipes SOC avec l'IA, les organisations peuvent détecter et arrêter les attaques plus rapidement, limitant ainsi l'étendue des dommages.
Rester proactif face à la menace des ransomwares
Pour réduire l'impact des attaques modernes de ransomware, les équipes de sécurité doivent passer de stratégies réactives à la détection comportementale. Cette approche proactive se concentre sur l'identification des activités suspectes dès le début du cycle de vie de l'attaque. Grâce à l'IA qui complète les outils de sécurité traditionnels, les entreprises peuvent détecter les comportements des ransomwares en temps réel, ce qui leur donne un avantage crucial pour prévenir les attaques avant qu'elles ne causent des dommages importants.
Les ransomwares resteront un outil puissant pour les cybercriminels qui cherchent à exploiter et à extorquer aux organisations leurs précieux actifs numériques. Le temps et la compréhension du contexte sont essentiels pour vaincre les ransomwares - une action précoce peut éviter un désastre complet.
Comment Vectra AI peut aider
La Vectra AI plateforme utilise l'analyse comportementale pilotée par l'IA pour détecter les comportements des attaquants dès le début du cycle de vie des ransomwares. En se concentrant sur les activités de reconnaissance, de déplacement latéral et de chiffrement, Vectra permet aux équipes de sécurité d'arrêter les ransomwares avant qu'ils ne causent des dommages catastrophiques. Vous voulez savoir comment Vectra AI peut vous aider à sécuriser votre organisation ? Demandez une démonstration autoguidée et découvrez la puissance de l'IA dans la défense contre les ransomwares.