Les attaques de ransomwares ont augmenté en volume, en sophistication et en demandes de rançon constantes au cours des dernières années. Selon les archives publiées, les secteurs de l’éducation et du commerce de détail sont les plus ciblés.
Les industries de l’énergie, du pétrole et du gaz ainsi que les collectivités locales sont les plus susceptibles de payer une demande de rançon ; tandis que l’industrie et la production sont les plus à même – les autorités locales et les soins de santé étant les moins à même – de restaurer les systèmes à partir d’une sauvegarde.
Ces détails ont été publiés dans le rapport 2022 sur l'état des attaques de ransomwares de la société de gestion des risques CyberSaint (PDF). Le co-fondateur et CPO de CyberSaint, Padraic O'Reilly, ajoute la condition selon laquelle il existe un biais inhérent et inévitable dans cette méthode de collecte de données : les chiffres ne tiennent pas compte et ne peuvent pas tenir compte des victimes qui paient discrètement la rançon sans signaler la compromission.
Il y a eu récemment une vague d'optimisme suite à la décision des autorités russes arrestation de membres de REvil en janvier 2022. L’espoir était une baisse de l’activité des ransomwares associée à une augmentation de la coopération internationale en matière d’application de la loi. Même s'il y a quelques facteurs déterminants du succès dans la lutte contre les attaques d’extorsion de données, la menace rôde toujours. O'Reilly a dit SecurityWeek qu'il espère une amélioration, mais ne s'y attend pas nécessairement.
Le 9 février 2022, la CISA, le FBI, la NSA, l'ACSC d'Australie et le NCSC du Royaume-Uni ont publié une alerte conjointe en matière de cybersécurité mettant en garde contre les tendances montrant une menace mondiale accrue des ransomwares. Il prévient que « si le modèle commercial criminel des ransomwares continue de générer des rendements financiers pour les acteurs des ransomwares, les incidents liés aux ransomwares deviendront plus fréquents ».
[ Lis: Le FBI met en garde contre les attaques de BlackByte Ransomware sur les infrastructures critiques ]
Le modèle des ransomwares continue d’évoluer et ne montre aucun signe de moins rentable pour les criminels. Notant le modèle croissant de ransomware as a service (RaaS), le rapport CyberSaint commente : « Ce modèle économique de malware permet aux développeurs de gagner de l'argent en vendant des kits et en prenant une part de la rançon demandée… Le potentiel de gains est illimité à mesure que la demande de kits de malware augmente. .»
"Nous aurons toujours les mauvais acteurs", a ajouté O'Reilly. Faisant référence à l'incident de REvil, il a poursuivi : « Je ne pense pas que l'approbation tacite d'un État-nation ou d'un autre soit le plus gros problème ici. » Il existe plusieurs autres pays où des criminels férus de technologie pourraient probablement opérer en toute impunité. L’Iran est connu pour accroître son activité de ransomware, tandis que le groupe nord-coréen Lazarus y est associé depuis longtemps.
« Le plus gros problème », a déclaré O'Reilly, « est qu'il existe des failles majeures dans le mécanisme de protection de certaines sociétés d'infrastructures critiques très importantes. Tant qu’il y aura ces défauts, il y aura de mauvais acteurs qui en profiteront. » Il ne voit pas beaucoup d'activités contre les infrastructures critiques émanant des États-nations, car les gouvernements ont tendance à s'éloigner de tout ce qui pourrait être considéré comme une cyberguerre directe – mais les gangs criminels n'ont pas de tels scrupules.
Et tant que le modèle RaaS est opérationnel, il peut toujours y avoir des accidents. Le Incident du pipeline colonial C'est peut-être un bon exemple : ce n'est pas DarkSide lui-même, mais plutôt un affilié de DarkSide RaaS qui a lancé l'attaque.
O'Reilly ne pense pas que nous devrions nous inquiéter de la géopolitique des attaques de ransomwares, ni attendre une amélioration potentielle de la coopération internationale en matière d'application des lois, mais que nous devrions nous concentrer sur les bases de la prévention des ransomwares. "Au moins", a-t-il déclaré SecurityWeek, "nous devons fermer la porte du RDP avec MFA et ajouter une sauvegarde efficace."
La sauvegarde fait partie de la solution, mais elle ne constitue pas une solution complète. "Nos statistiques montrent", a-t-il poursuivi, "une corrélation entre l'existence d'une sauvegarde et la réticence des victimes à payer la rançon." Le secteur manufacturier et de production est le moins susceptible de payer une rançon, mais le plus susceptible de bénéficier d’un bon soutien. À l’inverse, les soins de santé et les collectivités locales figurent tous deux en bonne place parmi les secteurs susceptibles de payer une rançon, mais sont les moins susceptibles de bénéficier d’un bon soutien.
Cependant, la sauvegarde ne vous protégera pas contre l’extorsion de données personnelles exfiltrées.
Services Connexes: SecurityWeek Cyber Insights 2022 : Ransomware
Services Connexes: Le ministère français de la Justice ciblé par une attaque de ransomware
Connexe: Les opérateurs de ransomware divulguent les données volées au géant de l'éolienne Vestas
Connexe: Les opérateurs de ransomware « Sabbath » ciblent les infrastructures critiques
Kevin Townsend est un contributeur principal chez SecurityWeek. Il écrit sur les questions de haute technologie depuis avant la naissance de Microsoft. Au cours des 15 dernières années, il s'est spécialisé dans la sécurité de l'information ; et a eu plusieurs milliers d'articles publiés dans des dizaines de magazines différents - du Times et du Financial Times aux magazines informatiques actuels et anciens.
Mots clés:
