La première attaque connue par un ransomware a eu lieu en 1989, mais cette forme de malware n’était pas encore populaire auprès des cybercriminels.
Cela a commencé à changer en 2013 avec l’apparition du ransomware Cryptolocker et depuis le nombre d’attaques n’a cessé de croître.
Aujourd’hui, les ransomwares sont l’une des plus grandes menaces de malwares auxquelles sont confrontées les entreprises
Des attaques de ransomware par le biais de réseau affiliés
Les attaques de ransomware ne sont plus des campagnes relativement modestes menées par des développeurs. Plutôt que de mener leurs propres attaques, il est désormais courant pour ces derniers de laisser la distribution de leurs ransomwares à un réseau d’affiliés.
Dans le cadre du modèle « ransomware-as-a-service – RaaS », de plus en plus d’attaques peuvent être menées et davantage de rançons seront versées en conséquence.
La plupart des attaques de ransomware fonctionnent aujourd’hui selon le modèle RaaS et de nombreux affiliés sont prêts à distribuer le logiciel contre une partie des bénéfices.
Autrefois, les ransomwares étaient utilisés simplement pour chiffrer des fichiers et pour empêcher les entreprises d’y accéder, à moins qu’une rançon ne soit versée pour obtenir les clés de déchiffrement.
Cependant, les opérateurs de ransomwares de Maze ont commencé à voler des données en 2019, avant le chiffrement des fichiers, afin d’inciter davantage les victimes à payer.
De nombreuses autres attaques ont suivi cette tendance et les cybercriminels ont même menacé de publier les données volées ou de les vendre à d’autres cybercriminels si la rançon n’était pas payée.
Le vol de données avant le chiffrement des fichiers devient la norme
Coveware, une entreprise qui travaille avec les victimes d’une attaque de ransomware pour les résoudre a récemment publié un rapport qui montre que la moitié de ses attaques impliquent désormais le vol de données avant le chiffrement des fichiers.
Cette enseigne entre souvent en négociation avec les attaquants au nom de ses clients.
Il peut être possible de récupérer des données chiffrées à partir de sauvegardes, mais cela n’empêchera pas la publication ou l’utilisation abusive des données volées.
Cette tactique s’est avérée efficace pour les pirates informatiques, mais il y a eu de nombreux cas où le paiement de la rançon n’a pas entraîné la suppression des données volées.
Aux États-Unis, plusieurs victimes dans le secteur de la santé ont payé la demande de rançon pour ensuite recevoir une seconde demande de paiement afin d’empêcher la publication de données volées.
Selon Coveware, le gang Sodinokibi ransomware est connu pour émettre d’autres demandes après le premier paiement, et il en a été de même pour Netwalker et Mespinoza ransomware.
Les opérateurs de Conti ransomware fournissent la preuve que les fichiers sont supprimés après le paiement de la rançon, mais cette preuve est falsifiée.
Les demandes de rançon sont également en augmentation. La demande moyenne de rançon au troisième trimestre 2020 était d’environ 193 000 euros, soit une hausse de 31 % par rapport au trimestre précédent, selon le rapport trimestriel de Coveware sur les attaques de ransomware.
L’industrie de la santé a été largement ciblée par les cybercriminels et le nombre d’attaques a augmenté pendant la pandémie du COVID-19.
Le secteur de la santé est fortement dépendant des données et les attaques visent à chiffrer les données des patients et à voler les dossiers médicaux avant leur chiffrement. Si la rançon n’est pas payée, les données ont une grande valeur et peuvent être revendues facilement.
Récemment, un avertissement commun a été lancé par la CISA (une agence chargée de protéger les infrastructures critiques des États-Unis), en collaboration avec le FBI et le ministère de la Santé et des Services sociaux, mettant en garde contre une menace accrue et imminente d’attaques ciblées de ransomwares dans les secteurs de la santé et de la santé publique.
Quelques jours après la publication de l’alerte, six prestataires de soins de santé ont été attaqués avec le logiciel Ryuk en une seule journée.
Les attaques contre les patients sont là pour rester dans le temps avec un avenir imprévisible. Elles ne commenceront à diminuer que lorsqu’elles ne seront plus rentables.
En fait, leur succès réside dans le fait qu’il n’y a aucune garantie que les données volées seront restituées même si la rançon est payée.
Il est donc plus important que jamais pour les entreprises et les organismes de santé de s’assurer que leurs défenses sont renforcées contre les attaques de ransomwares.
Les rançons peuvent être fournies au moyen de diverses techniques
Les vulnérabilités des logiciels et des systèmes d’exploitation sont couramment exploitées pour accéder aux réseaux.
Il est donc important de procéder à une analyse de vulnérabilité pour identifier les vulnérabilités que les pirates peuvent exploiter afin de s’assurer que les failles sont rapidement corrigées.
La messagerie électronique reste l’un des vecteurs d’attaque les plus courants non seulement pour la livraison de ransomwares, mais aussi pour leur téléchargement.
Emotet et TrickBot sont deux chevaux de Troie couramment utilisés pour fournir des ransomwares comme charge utile secondaire, et tous deux sont principalement fournis par la messagerie électronique, tout comme BazarLoader, qui a été utilisé pour fournir des ransomwares lors de nombreuses attaques récentes.
Pour sécuriser ce vecteur d’attaque, il faut un filtre antispam avancé, alimenté par l’intelligence artificielle et capable de détecter non seulement les menaces de malwares connues, mais aussi les malwares du type « zero day » et les attaques lancées via la messagerie électronique qui n’ont jamais été vues auparavant.
SpamTitan utilise l’Intelligence artificielle et l’apprentissage machine pour identifier ces menaces à la source et pour empêcher que les emails malveillants n’arrivent dans des boîtes de réception des employés.
Si c’est le cas, ces derniers peuvent fournir involontairement aux attaquants l’accès à votre réseau d’entreprise.
En plus de ses deux moteurs antivirus, SpamTitan dispose d’une fonction de bac à sable qui permet d’identifier les menaces de malwares du type « zero day » et des plusieurs protocoles de sécurité (SPF, DKIM et DMARC).
Ces protocoles permettent de détecter et de bloquer les attaques par usurpation d’identité via les emails
Les ransomwares et les autres menaces de malwares sont souvent transmis via Internet, de sorte que des mesures de cybersécurité sont nécessaires pour bloquer ce vecteur d’attaque.
WebTitan utilise également des techniques d’intelligence artificielle et d’apprentissage des machines pour se protéger contre les sites web utilisés pour diffuser des menaces de malwares.
La solution utilise l’automatisation et des analyses avancées pour rechercher parmi des milliards d’URL/IP et de sites de phishing qui pourraient constituer une entreprise et s’assurer que ces menaces sont bloquées.
En mettant en œuvre des défenses par couches, il est possible de bloquer la majorité des menaces, mais il reste important de s’assurer que vos données sont protégées en cas d’une attaque réussie. Vous devez vous assurer que, quoi qu’il arrive, vos données sont sécurisées.
Une bonne approche à adopter est la stratégie de sauvegarde 3-2-1, qui consiste à effectuer trois sauvegardes, à stocker les copies sur deux supports différents (sur un disque et dans le cloud, par exemple) et à s’assurer qu’une copie est stockée en toute sécurité hors site.
Si une attaque de ransomware réussit, vous ne serez pas à la merci des attaquants et vous pourrez au moins récupérer vos données sans payer la rançon.
Si vous souhaitez améliorer vos défenses contre les ransomwares, appelez l’équipe du TitanHQ dès aujourd’hui pour obtenir des informations et des conseils sur les mesures que vous pouvez prendre pour renforcer vos défenses.