Pourquoi le ransomware a-t-il toujours autant de succès ?



Pourquoi le ransomware a-t-il toujours autant de succès ?

 Les attaques de ransomware se multiplient, le nombre de victimes ne cesse de croître. Cependant, les entreprises ont les moyens d’éliminer efficacement cette menace une bonne fois pour toute nous explique Nicolas Casimir de Zscaler.

Les attaques de ransomware se multiplient, le nombre de victimes ne cesse de croître, avec dans le lot des organismes aux activités très sensibles. La pression des attaquants ne semble jamais avoir été aussi forte. A tel point que le rapport de force semble aujourd’hui déséquilibré. Cependant, les entreprises ont les moyens d’éliminer efficacement cette menace une bonne fois pour toute.


C’est un fait avéré, la cybercriminalité du ransomware est en forte hausse. Dans notre rapport sur l’état des attaques chiffrées en 2020, nous avions signalé une augmentation de 500 % des attaques de ransomware par rapport à 2019.


Il est également évident que, bien que les cybercriminels exécutent des attaques de plus en plus complexes et ciblées, de nombreuses techniques utilisées pour diffuser avec succès des logiciels malveillants – comme les macros infectées dans les documents Word – sont en fait étonnamment simples. N’ayant pas réussi à mettre à jour les politiques de sécurité pour se protéger contre ce type d’attaques, les services informatiques semblent être à la traîne face aux cybercriminels.


Du point de vue d’un attaquant, il existe de nombreux moyens potentiels de pénétrer dans un réseau et de chiffrer des données. En 2020, la grande nouveauté aura été la pratique de la double extorsion : les données sont non seulement chiffrées mais elles sont volées et gardées en « otage ».


La méthode fait son effet, puisque les entreprises ont une double raison de payer les attaquants… Et la tâche des attaquants est grandement facilitée par le Ransomware-as-a-Service. Prenons l’exemple du malware Dharma : en mars 2020, le code source de ce malware a été mis en vente sur le dark web, et le nombre d’attaques signalées a augmenté…


Une défense efficace contre les ransomware passe d’abord par une bonne hygiène de sécurité

C’est encore malheureusement une évidence mais les équipes informatiques doivent améliorer leur hygiène de sécurité pour suivre l’évolution des ransomwares car la complaisance est le plus grand ennemi dans la lutte contre ce type d’attaques. Les équipes informatiques doivent non seulement procéder à des examens réguliers pour s’assurer que les mesures de sécurité de l’entreprise constituent toujours une défense adéquate contre les nouvelles méthodes d’attaque.

La priorité absolue est de maintenir à jour leurs correctifs et leur gestion des vulnérabilités. Parmi les autres « basiques », mentionnons également l’examens réguliers des accès et des droits, ainsi que la prise en compte du principe du moindre privilège.

Les équipes informatiques doivent en effet s’assurer que les employés ne peuvent accéder qu’aux applications dont ils ont besoin, sans leur ouvrir l’ensemble du réseau. La mise en place d’une stratégie qui évite les mouvements latéraux peut empêcher les attaquants de se faufiler sur l’ensemble du réseau, s’ils ont pris pied dans un système.

Les entreprises publient en ligne plus d’informations sur leur infrastructure qu’elles ne le devraient

Le problème c’est qu’elles ignorent souvent totalement qu’elles l’ont fait. Parfois, un serveur mal configuré entraîne une fuite de données, de même un environnement de développement établi à la hâte peut servir de passerelle aux attaquants pour accéder à des données critiques, ou encore un simple port ouvert est peut-être le coupable.

Notre rapport d’analyse sur l’état de la sécurité du Cloud public indique que les configurations incorrectes sont l’une des principales causes de réussite des attaques contre les infrastructures du Cloud public.

Les protocoles de bureau à distance, qui sont visibles par tous en ligne, sont une cible particulièrement attrayante pour les attaquants. Notre analyse a révélé que 20 % de tous les systèmes exposent leurs ports RDP dans le Cloud… Des opérateurs de ransomware tels que SamSam et Dharma effectuent par exemple des recherches ciblées pour identifier ces ports et les utilisent ensuite pour lancer leurs attaques par force brute.

Internet permet également aux attaquants d’acquérir une connaissance approfondie de l’infrastructure d’une entreprise, et ainsi d’exécuter des attaques ciblées sur ses points les plus faibles. Un pare-feu, par exemple, peut donner aux attaquants un aperçu involontaire de la structure d’une entreprise ; il peut fournir des informations sur les noms de réseau et les domaines dans les environnements internes, qui, à leur tour, peuvent être utilisées pour identifier les zones potentielles d’attaque.

Il est donc recommandé aux entreprises de vérifier régulièrement la présence d’OSINT (Open Source Intelligence) dans leur infrastructure à l’aide d’outils en ligne, et de fermer ensuite toute passerelle potentielle d’attaque

Tout ce qui est accessible en ligne ne doit pas nécessairement être présent, non sécurisé et accessible à tous. Il est impératif de comprendre comment les attaquants obtiennent l’accès pour qu’une organisation puisse mettre en œuvre les mesures appropriées pour garantir que seuls les utilisateurs autorisés obtiennent l’accès aux applications nécessaires.


Les stratégies de sécurité ont un besoin urgent d’être mises à jour avec des mécanismes d’authentification modernes. Les mots de passe faibles ne résistent pas aux attaques par la force brute. Trop souvent, les utilisateurs de bureaux à domicile choisissent la voie la plus simple et optent pour les mots de passe les plus simples que le système permet.

Mais avec la multiplication des attaques de ransomware, l’authentification multi-facteurs devrait être une priorité. Les entreprises doivent également adopter une position intransigeante en matière de sécurité ; doter le siège social de systèmes de sécurité de pointe et laisser les succursales exposées aux attaques, est clairement inconcevable aujourd’hui.


De nombreuses organisations se rendent également coupables de faire trop confiance au trafic de données chiffré par SSL/TLS. Plus de 86 % du trafic Internet est déjà chiffré en HTTPS, comme le montre notre Cloud, et même plus de 90 % selon un rapport de Google.

Ces flux de données sont également utilisés par les attaquants opérateurs de ransomware. Si les entreprises n’analysent pas ce type de trafic, ils peuvent être utilisés à mauvais escient pour faire passer un code nuisible par une technologie de sécurité qui protège le reste du réseau de l’entreprise.

Au cours de l’année écoulée, les services de partage de fichiers dans le Cloud sont devenus une cible privilégiée des cybercriminels. Google Drive, OneDrive, AWS et Dropbox sont de plus en plus utilisés comme plateforme pour transporter des logiciels malveillants car les utilisateurs font trop confiance à ces programmes. Il suffit d’un clic rapide et irréfléchi de l’utilisateur pour déclencher le cycle d’infection.





Pour plus d’information : https://www.zdnet.fr/pratique/ransomware-voici-les-indices-qui-montrent-que-vous-etes-attaque-39908063.htm

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité