Impact des ransomwares sur les grandes entreprises mondiales - Sans Spotlight Report

Au cours des dernières années, les ransomwares sont devenus l'une des menaces les plus importantes et les plus prolifiques auxquelles sont confrontées les organisations aujourd'hui. En général, aucune équipe de sécurité ne souhaite vivre une violation de données. Cependant, les ransomwares ne sont pas seulement une violation de données ; les victimes de ransomwares sont souvent humiliées publiquement par des adversaires qui exigent des sommes exorbitantes pour obtenir le déblocage de leurs données verrouillées. L'unité 42 de Palo Alto a indiqué qu'au cours du premier semestre 2021, le paiement moyen d'un ransomware a atteint 570 000 dollars. À la fin de la même année, un assureur avait versé 40 millions de dollars en paiement d'un ransomware, selon un rapport de Mimecast sur les cas de ransomware en 2021.

Les rançongiciels ont également eu un impact sur une grande partie de la sécurité des entreprises. Il a modifié la façon dont nous élaborons des plans de réponse aux incidents, évaluons la cyberassurance et développons des processus d'entreprise fondés sur la continuité et la résilience. Cet impact peut avoir forcé les organisations à considérer différemment leur paysage de menaces, en prenant des décisions différentes de celles qui étaient prévues à l'origine. En outre, il a donné une nouvelle signification à la fois à ce qui constitue une catastrophe et aux exigences en matière d'opérations de récupération. Nous ne pouvons pas ignorer l'impact que les ransomwares ont eu sur certaines des plus grandes organisations du monde, en particulier lorsqu'ils sont associés aux changements résultant de la récente pandémie de COVID-19.

Dans ce document, nous examinons l'impact des ransomwares sur la sécurité des 2 000 plus grandes entreprises du monde (G2K). Les ransomwares sont devenus une "grande affaire" et, en tant que tels, ont eu des effets durables sur les activités normales des entreprises, telles que les fusions et acquisitions et la croissance de l'industrie. Les rançongiciels ont également eu des effets considérables sur la politique fédérale et internationale en matière de cybersécurité.

Bien que nous considérions souvent cybercriminels- et non les objectifs de la menace - comme un point d'attention principal, le ransomware en tant que profil d'attaque est trop prolifique et a trop d'impact pour que les organisations puissent l'ignorer. Comme nous l'expliquons dans ce document, les ransomwares constituent une menace redoutable qui a changé la façon dont de nombreuses organisations exercent leurs activités.

Aujourd'hui, nous voyons le ransomware cybercriminels élargir ses tactiques, ses techniques et ses vecteurs d'entrée, en s'emparant rapidement des vulnérabilités et des exploits de type "zero-day" pour obtenir un accès et délivrer les charges utiles initiales du ransomware. Les organisations qui ne sont pas attentives à ces menaces ou qui ne connaissent pas les tendances en matière de ransomware se retrouveront prises au dépourvu et seront rapidement exploitées. Bien que notre document se concentre sur le G2K, nous encourageons les organisations de toute taille à.. :

• Mettre en œuvre de solides capacités de surveillance et de détection des vecteurs d'entrée des ransomwares, tels que les vulnérabilités et les solutions d'accès à distance.
• Mettre en œuvre des capacités de détection et de réponse sur les points d'extrémité et les réseaux, à la fois sur site et sur le site cloud.
• Envisagez des stratégies de défense en profondeur pour limiter la réutilisation des informations d'identification et les mouvements latéraux au sein de votre environnement.
• Limiter la connectivité réseau aux systèmes de sauvegarde et/ou de reprise après sinistre, qui sont souvent la cible des adversaires des ransomwares.
• Veillez à ce que votre plan d'intervention en cas d'incident prévoie la gestion de la dénonciation publique.

Enfin, il convient de noter que si ce document se concentre sur la menace des ransomwares, bon nombre des recommandations et des mesures d'atténuation qui y sont décrites sont utiles pour lutter contre le large éventail d'objectifs que cybercriminels s'efforce d'atteindre. La mise en œuvre d'exigences strictes en matière d'accès à distance ou la limitation de la facilité des mouvements latéraux peuvent stopper net une multitude d'adversaires. Pour le plus grand bien d'une équipe de sécurité qui cherche à en avoir pour son argent, les adversaires des ransomwares recyclent souvent des techniques et des tactiques, ce qui permet aux analystes de sécurité de repérer les attaques avant qu'elles ne se transforment en brèches.

Impact des ransomwares sur ^G2K1

Comme nous l'avons mentionné, l'impact des ransomwares peut facilement être ressenti par les organisations de toutes tailles. Cependant, compte tenu de leur taille et de leur portée, les organisations G2K ont subi certaines des attaques de ransomware les plus médiatisées. En outre, compte tenu de leur chiffre d'affaires et de leur profil public, les G2K restent en tête de liste des cibles des adversaires. Ils promettent une prime de ransomware plus importante que celle que les petites organisations peuvent se permettre.

Il est intéressant de noter que l'on pourrait également affirmer que les organisations G2K sont des cibles bien défendues. On pourrait supposer qu'à partir d'un certain niveau de revenus, les départements de sécurité sont financés (potentiellement bien financés) et que la sécurité de l'information fait partie intégrante des activités de l'entreprise. Malheureusement, comme nous l'avons appris à maintes reprises, ce n'est pas toujours le cas. Cela ne veut pas dire que les équipes de sécurité des grandes organisations ne font pas du bon travail. Nous pouvons toutefois tirer des enseignements de leur expérience. Examinons les études de cas publiques et tirons-en des enseignements pour déterminer la meilleure façon de mettre en œuvre la sécurité et d'assurer de meilleures pratiques de défense.

Impact sur la confiance des clients : Accenture (G2K #169)

Notre première étude de cas porte sur l'impact des ransomwares sur la confiance des clients d'une organisation. La confidentialité des clients est d'une importance capitale pour une entreprise comme Accenture et est souvent considérée comme l'un des principaux facteurs de différenciation des sociétés de conseil. En août 2021, Accenture a subi une attaque de ransomware qui a entraîné le vol confirmé de données propriétaires dans ses systèmes informatiques et a créé une double menace.

Tout d'abord, lorsqu'un adversaire enfreint la sécurité, chiffre les données et demande une rançon, l'organisation est déjà en proie à la panique pour déterminer la cause profonde de l'attaque et les mesures à prendre. Cependant, lorsqu'une organisation est le gardien des données d'autrui, elle doit également identifier rapidement les données spécifiques affectées ou volées dans l'environnement. En outre, une organisation victime doit répondre à des questions clés telles que : "L'adversaire peut-il utiliser ces données pour nuire à l'entreprise ou à ses clients ?" Elle doit également déterminer si un adversaire peut ou non utiliser les données volées pour cibler et attaquer avec succès d'autres organisations.

En général, dans les cas de ransomware où les données volées sont des informations personnelles identifiables (PII) ou des données propriétaires, l'organisation doit s'efforcer de mettre fin à l'intrusion de toute urgence. En l'absence d'un programme de sécurité prévoyant une "mise en garde" contre les ransomwares, un plan d'intervention en cas d'incident risque d'être trop lent ou pas assez impliqué pour contrer une telle attaque avant qu'elle n'ait des conséquences néfastes ou pour permettre à l'organisation de revenir à la normale à la suite de l'intrusion. En outre, une compréhension précoce et détaillée de ce qui s'est passé et des données qui ont potentiellement été volées est essentielle pour les résultats de la négociation. La décision d'Accenture aurait pu être différente si des trésors de données clients avaient été dérobés.

Résultat : Les adversaires ont affirmé que 6 To de données avaient été volés et ont demandé 50 millions de dollars de rançon. Cependant, Accenture a restauré les systèmes affectés à partir d'une sauvegarde et a confirmé qu'aucune donnée client n'avait été dérobée.

Il n'y a aucune garantie que les clients quitteront ou resteront à cause d'une violation par ransomware. Toutefois, la protection des données des clients et de la propriété intellectuelle de l'entreprise doit être l'un des principaux objectifs de l'organisation. Les ransomwares peuvent être à l'origine de nouvelles politiques de sécurité et de la mise en œuvre de processus et de contrôles plus solides et plus avancés, que l'équipe de sécurité doit adopter et déployer dans toute la mesure du possible.

Impact sur le site Supply Chain: JBS USA (G2K #525)

Notre deuxième étude de cas porte sur l'impact des ransomwares sur les opérations de la chaîne d'approvisionnement et sur la façon dont une cyberattaque peut être dévastatrice pour le monde physique. En mai 2021, JBS USA, l'un des plus grands fournisseurs de viande aux États-Unis, a révélé qu'une attaque par ransomware avait interrompu les opérations de production dans cinq installations, qui traitaient un total de 22 500 têtes de bétail par jour. L'interruption des opérations s'est également étendue à des usines en Australie, soulignant à quel point les systèmes de JBS étaient connectés.

JBS est un parfait exemple de l'impact que peut avoir une attaque par ransomware sur une chaîne d'approvisionnement mondiale. L'arrêt de la production de viande a affecté une longue liste de clients de JBS, notamment des restaurants, des épiceries et des fournisseurs, tels que des éleveurs de bétail. Cette perturbation pourrait inciter les clients et les fournisseurs de JBS à chercher à faire des affaires ailleurs et permettre aux attaquants de gonfler le coût de la violation par ransomware. En outre, selon l'ampleur des dégâts subis par les systèmes de production, il faudra peut-être des jours, voire des semaines, pour retrouver un rythme de fonctionnement normal.

Résultat : JBS a cédé aux demandes de rançon et a versé 11 millions de dollars à l'adresse cybercriminels. Bien que la société ait déclaré qu'aucune donnée de l'entreprise, des clients ou des employés n'avait été compromise, il est probable qu'elle ait décidé qu'un paiement de 11 millions de dollars valait mieux qu'une perte de production pendant un ou plusieurs jours supplémentaires.

Impact sur l'intégrité des données et l'extorsion : Brenntag (G2K #1088)

Enfin, notre troisième étude de cas examine l'impact sur l'intégrité des données d'une violation par ransomware chez Brenntag, une société de distribution de produits chimiques basée en Allemagne. En mai 2021, il a été signalé que le groupe de ransomware DarkSide avait compromis la division nord-américaine de Brenntag en utilisant des informations d'identification volées. Au plus fort de l'attaque, les adversaires ont lancé la charge utile de chiffrement attendue et ont volé près de 150 Go de fichiers dans l'environnement.

Selon le groupe de ransomware au moment de la divulgation, les données volées (qui n'étaient pas cryptées entre les mains de l'adversaire) comprenaient des contrats, des accords de confidentialité, des formules chimiques et des documents financiers et comptables clés. Bien que nous ne sachions pas si les adversaires comprenaient les données qu'ils possédaient, ils en comprenaient la valeur et la probabilité que Brenntag veuille les garder privées.

En utilisant les données volées comme levier, la demande initiale de ransomware s'élevait à 7,5 millions de dollars. Selon les listes de G2K, Brenntag est une entreprise de 14,2 milliards de dollars ; 7,5 millions de dollars semblent donc être une "goutte d'eau dans l'océan". C'est un point de vue que les ransomware cybercriminels adoptent souvent : il s'agit d'un si petit sous-ensemble de votre valeur que la sécurité de vos données doit valoir ce petit montant. Cette stratégie se retrouve dans leurs tactiques de négociation.

Résultat: Brenntag a finalement payé 4,4 millions de dollars sur les 7,5 millions de dollars initiaux à cybercriminels le 11 mai 2021. Bien qu'il se déroule souvent à huis clos, le processus de négociation d'un ransomware est un autre processus dans lequel les adversaires investissent du temps et des compétences pour extraire le maximum d'argent d'une organisation victime.

Impact des ransomwares sur la sécurité

En seulement trois brèves études de cas, nous avons pu montrer comment une attaque par ransomware peut rapidement avoir un impact sur la confiance des clients, les chaînes d'approvisionnement mondiales ou l'intégrité des données. Les trois attaques que nous avons examinées ne sont que la partie émergée de l'iceberg. Les ransomwares sont devenus une industrie de plusieurs milliards de dollars, certains estimant qu'ils représenteront plus de 10 milliards de dollars en 2021. Toutefois, on pourrait étrangement affirmer que les ransomwares ont également modifié simultanément le paysage des menaces et celui de la sécurité des entreprises.

Impact sur la détection et la réponse aux incidents

Le domaine dans lequel les ransomwares ont eu le plus d'impact est sans doute la manière dont les organisations détectent les incidents et y répondent. Si l'on repense aux violations de données du début des années 2010, le monde était principalement occupé par les violations à motivation financière, l'espionnage de la propriété intellectuelle ou de l'État et l'hacktivisme. Les rançongiciels étaient considérés comme une menace "gênante" qui ne demandait que quelques centaines de dollars et qui était souvent facilement traitée par les techniques de récupération des données.

En 2021-2022, les adversaires des ransomwares ont affiné leurs compétences. Une attaque par ransomware identifie et cible désormais efficacement les mécanismes de récupération des données. De nombreux rapports font état de la capacité des adversaires à passer de zéro à l'administrateur de domaine et au chiffrement complet en l'espace de quelques heures, ce qui signifie que les équipes de sécurité ont encore moins de temps pour suivre et neutraliser une menace.

Les adversaires des ransomwares ont encore amélioré leurs compétences en se concentrant sur les étapes post-cryptage d'une attaque. Les négociations sont menées par une partie distincte qui connaît la victime, peut discuter des finances et est prête à accepter une somme inférieure au montant initial de la rançon. Dans le même temps, les auteurs de ransomwares n'hésitent pas à extorquer leurs victimes et à les menacer de fuites de données et d'autres situations embarrassantes.

Ces paramètres ont modifié la détection et la réponse aux incidents de quelques manières essentielles :

• Les équipes de sécurité doivent être en mesure de détecter les menaces plus rapidement. Le temps de séjour des adversaires, mesuré en jours, peut entraîner des contrôles de sécurité qui fonctionnent trop lentement et donnent au ransomware cybercriminels trop de temps pour agir.
• Il ne s'agit plus de détecter la charge utile du ransomware - cela arrive trop tard dans le jeu. Aujourd'hui, il faut se concentrer sur les activités et les techniques qui précèdent le déploiement d'un ransomware.
• Plus que jamais, les équipes de sécurité doivent s'appuyer sur de solides technologies de détection et de réponse (réseau et endpoint, ou NDR et EDR, respectivement, sont concernés ici) pour fournir des capacités avancées de détection et de traitement. La couverture des attaques utilisant des comptes à privilèges est un élément clé, étant donné leur importance dans les attaques modernes.
• Les plans de réponse aux incidents doivent inclure des options rapides qui neutralisent les menaces immédiatement. L'époque où l'on soumettait un ticket de modification pour bloquer un port de pare-feu faisait perdre trop de temps, en particulier aux adversaires artisanaux qui se déplacent à la vitesse de la lumière dans un réseau plat.
• Les plans de réponse aux incidents doivent également inclure d'autres départements "non traditionnels". Il n'est pas nécessaire d'appeler le service juridique ou le service des relations publiques pour chaque incident survenu dans une organisation. Cependant, une faille dans un ransomware peut être divulguée publiquement avant même que l'équipe de sécurité n'ait eu le temps de s'en occuper. Cela devrait inciter d'autres parties, compétentes pour gérer les problèmes externes, à s'impliquer.

En ce qui concerne la détection et la réponse aux incidents, il existe également des opportunités uniques pour les équipes de sécurité. Les préoccupations du conseil d'administration et de la direction concernant une attaque par ransomware peuvent donner l'impulsion nécessaire pour financer un certain outil ou projet, déplacer les actifs vulnérables vers un "emplacement" plus sûr, ou enfin mettre en œuvre les politiques et les processus que l'équipe de sécurité cherche à mettre en place depuis un certain temps.

Il est intéressant de noter que les attaques par ransomware sont parmi les seuls types d'attaques qui se concentrent sur le résultat de l'attaque, et pas nécessairement sur le site cybercriminels et/ou les objectifs qui y sont associés. Bien qu'il s'agisse d'un point de vue unique, cela ne supprime pas la nécessité d'une hygiène de sécurité de base, qui peut contribuer grandement à arrêter tous les types d'attaques, et pas seulement les ransomwares.

Impact sur les solutions d'accès à distance, les mots de passe et les autorisations

Les solutions d'accès à distance font partie des opérations normales des entreprises depuis des décennies ; il n'est pas nouveau pour les administrateurs de se connecter aux systèmes pour les mises à niveau informatiques normales, la maintenance, etc. Malheureusement, elles sont également devenues l'un des vecteurs d'entrée privilégiés des adversaires des ransomwares, qui savent que les systèmes d'accès à distance ou "jump boxes" sont souvent configurés avec une sécurité légère, mais des autorisations lourdes.

De ce fait, les processus d'entreprise ont dû explorer soit un changement, soit un tout nouveau processus d'entreprise pour permettre aux administrateurs d'accéder à distance. Bien que cela puisse sembler être une simple mesure d'hygiène en matière de sécurité, les ransomwares ont été l'un des principaux vecteurs de l'authentification multifactorielle, de l'utilisation obligatoire d'un VPN ou de l'élimination complète des solutions d'accès à distance.

Les rançongiciels ont également eu un impact sur la manière dont les organisations traitent les mots de passe et les autorisations de leurs utilisateurs. Bien trop souvent, nous voyons des violations de données qui impliquent un compte avec beaucoup trop d'autorisations, peu de sécurité périmétrique et des informations d'identification faciles à deviner. Même au sein de la population du G2K, il s'agit d'un problème préexistant qui est mûr pour être exploité par des adversaires. En outre, l'analyse médico-légale et l'intervention en cas d'incident peuvent s'avérer difficiles lorsqu'un adversaire se fond dans le trafic normal.

Les rançongiciels peuvent toutefois être le catalyseur d'un changement organisationnel indispensable. Le déploiement de l'authentification multifactorielle est une bonne pratique que les professionnels de la sécurité recommandent depuis des années : Elle peut dissuader les ransomwares et d'autres types d'attaques de la part d'adversaires qui n'ont pas le temps de s'attaquer à un obstacle de sécurité aussi "robuste".

Nous nous en voudrions de ne pas souligner qu'une chose aussi simple que l'authentification multifactorielle peut réduire de deux chiffres les taux de réussite des adversaires. Un grand nombre d'attaques s'appuient sur des identifiants faibles et à facteur unique pour l'accès à distance. L'introduction d'un obstacle peut briser l'automatisation des adversaires, supprimer la possibilité de vendre des informations d'identification et empêcher une attaque qui serait autrement facile.

Impact sur les vulnérabilités et les cycles de vie des logiciels (SDLC)

Les ransomwares ont également eu un impact positif sur la gestion des vulnérabilités et les cycles de développement des logiciels. Cela s'explique par une évolution récente (au cours des 24 derniers mois) des attaques par ransomware, qui trouvent leur origine dans des vulnérabilités et des exploits plutôt que dans l'accès à distance traditionnel ou le spearphishing. L'armement et l'exploitation rapides de vulnérabilités largement répandues ont introduit un nouveau vecteur pour les attaquants afin de déployer des ransomwares, une autre tendance dont les équipes de sécurité doivent être conscientes. Selon la façon dont la vulnérabilité est liée à l'environnement, les adversaires peuvent être en mesure de déployer rapidement leur ransomware avec des autorisations.

Par exemple, entre mars et avril 2021, de multiples vulnérabilités ont été corrigées pour les versions 2013, 2016 et 2019 du serveur Exchange sur site de Microsoft. Presque au même moment où les annonces de vulnérabilités ont été faites, les adversaires avaient déjà mis au point des armes et scanné les serveurs Exchange vulnérables orientés vers l'internet, qui se comptaient manifestement par milliers. À ce stade, un simple alignement de scripts et de scanners automatisés a fait le sale boulot.

L'échelle à laquelle les adversaires peuvent automatiser leurs opérations introduit de nouvelles complexités, d'où la nécessité d'un programme adéquat de gestion des vulnérabilités et du cycle de vie des logiciels. Lorsqu'une vulnérabilité est annoncée dans un produit ou une bibliothèque de logiciels, les équipes de sécurité ne disposent pas de quelques jours ou semaines pour l'identifier et la cataloguer. Cette tâche doit être accomplie à l'avance. Les programmes de visibilité des actifs peuvent également être inclus dans cette discussion, car ils donnent aux équipes de sécurité un aperçu des actifs et peuvent combiner le meilleur des deux mondes avec un catalogue des logiciels installés.

Réflexions finales

Dans ce livre blanc, nous avons examiné l'impact des ransomwares sur les 2 000 plus grandes entreprises du monde. Bien que les ransomwares ciblent des organisations bien au-delà de cette liste - après tout, l'argent, c'est de l'argent - il est intéressant d'examiner comment les entreprises disposant de ressources gèrent la menace des ransomwares. Les revenus sont-ils synonymes d'investissement dans la cybersécurité ? Le réseau d'une organisation est-il plus vulnérable ? Les deux, voire plus ?

Nous pensons que même s'il s'agit d'une attaque sans discernement, les leçons tirées des brèches de ransomware G2K connues du public peuvent aider d'autres organisations à mettre en œuvre des défenses plus solides. Le verrouillage de protocoles tels que l'accès à distance et la mise en œuvre de programmes de gestion de la visibilité et de la vulnérabilité peuvent avoir un effet dissuasif important sur l'adversaire. Une équipe de sécurité bien informée est une équipe qui sera toujours prête à aller au combat et à faire face à n'importe quelle menace, y compris les ransomwares.

---

¹ Les classements G2K indiqués dans les sous-titres sont tirés de la liste 2021 Global 2000 de Forbes.