Les groupes de ransomwares qui réussissent se tournent de plus en plus vers le chiffrement à distance, selon le dernier rapport CryptoGuard de Sophos. Le problème : la protection anti-ransomware traditionnelle ne « voit » pas la catastrophe venir et est inefficace. Le type d'attaque a augmenté de 62 pour cent.
Sophos a publié son nouveau rapport « CryptoGuard : Une approche asymétrique de la bataille contre les ransomwares » avec les évaluations de sa technologie de défense CryptoGuard. Les groupes de ransomwares les plus performants et les plus actifs, tels que Akira, ALPHV/BlackCat, LockBit, Royal ou Black Basta, optent consciemment pour le chiffrement à distance de leurs attaques. Avec ce soi-disant « ransomware à distance », les cybercriminels utilisent un appareil compromis et souvent mal protégé pour crypter les données sur d'autres appareils connectés au même réseau.
La protection des points de terminaison à plusieurs niveaux dissuade les attaquants
La technologie anti-ransomware CryptoGuard surveille le cryptage des fichiers malveillants et offre une protection immédiate ainsi qu'une fonction de réinitialisation, même si le ransomware lui-même n'apparaît pas sur un hôte protégé. Cette technologie constitue la dernière ligne de protection multicouche des points finaux de Sophos. Les attaques à distance ont augmenté de 2022 % depuis 62.
Mark Loman, vice-président de la recherche sur les menaces chez Sophos, a déclaré : « Les entreprises peuvent aujourd'hui disposer de milliers d'ordinateurs bien sécurisés, mais avec les ransomwares à distance, il suffit d'un seul appareil non protégé pour compromettre l'ensemble du réseau. Les attaquants le savent et recherchent spécifiquement cette vulnérabilité – et la plupart des entreprises en possèdent au moins une. "Le chiffrement à distance restera un problème persistant et, compte tenu des avertissements, cette méthode d'attaque se développe."
Les mesures anti-ransomware traditionnelles ne détectent pas l'activité à distance
Le problème avec ce chiffrement à distance est que les mesures de protection anti-ransomware traditionnelles exécutées sur les appareils distants ne peuvent pas détecter ces fichiers malveillants ou leurs activités et ne peuvent donc pas protéger contre le chiffrement ou la perte de données. La technologie CryptoGuard utilise une approche nouvelle : elle analyse le contenu des fichiers pour vérifier si des données ont été cryptées. Il détecte l'activité des ransomwares sur chaque appareil du réseau, même s'il n'y a aucun logiciel malveillant sur l'appareil.
CryptoLocker est considéré comme le premier ransomware à succès, utilisé pour le chiffrement à distance avec chiffrement asymétrique (également connu sous le nom de cryptographie à clé publique) en 2013. Depuis lors, les attaquants ont pu intensifier leur recours aux ransomwares. Raison : vulnérabilités de sécurité constantes et omniprésentes dans les organisations du monde entier et émergence des crypto-monnaies.
La défense moderne contre les ransomwares repose sur une défense asymétrique
« Lorsque nous avons vu pour la première fois CryptoLocker exploiter le cryptage à distance il y a dix ans, nous savions que cette tactique constituerait un défi de défense pour les années à venir. De nombreuses solutions se concentrent sur la détection de programmes binaires malveillants ou sur leur exécution. Cependant, dans le cas d'un chiffrement à distance, ces étapes se produisent sur un ordinateur différent (non protégé) de celui dont les fichiers sont chiffrés. La seule façon d’arrêter cela est de surveiller et de protéger de près les fichiers.
C'est pourquoi nous avons développé CryptoGuard. Cette solution ne recherche pas uniquement les ransomwares, mais elle se concentre sur les cibles principales : les fichiers. Il utilise une vérification mathématique des documents pour détecter les signes de falsification ou de cryptage. Notamment, cette stratégie autonome ne s’appuie délibérément pas sur des indicateurs de violation, des signatures de menaces, de l’intelligence artificielle, des recherches dans le cloud ou des connaissances préalables pour être efficace. En nous concentrant sur les dossiers, nous influençons le rapport de force entre attaque et défense. Nous augmentons le coût et la complexité d’un cryptage de données réussi pour les attaquants afin qu’ils abandonnent leur objectif. Cela fait partie de notre approche de défense asymétrique », explique Loman.
Une défense efficace bloque les attaques à distance et le cryptage partiel des données
« Les ransomwares à distance sont un problème connu des organisations et contribuent à la longévité des ransomwares en général. Étant donné que la lecture des données via une connexion réseau est plus lente que celle provenant d'un disque dur local, nous avons vu des attaquants comme LockBit ou Akira chiffrer stratégiquement seulement une partie d'un fichier. Ce principe vise à obtenir un effet maximal en un minimum de temps et réduit également la fenêtre permettant aux défenseurs de remarquer l'attaque et de réagir. L’approche Sophos de la technologie anti-ransomware stoppe à la fois les attaques à distance et le chiffrement partiel des fichiers », a déclaré Loman.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.