2021 devrait entrer dans l'histoire de la cybersécurité comme l'année des ransomwares. La liste mondiale des principales victimes va des exploitants de pipelines et de districts entiers aux éditeurs et aux chaînes de vente au détail.
Les Varonis Threat Labs ont identifié trois tendances clés qui nous occuperont également en 2022. Car une chose est sûre : nous aurons encore cette année affaire à des ransomwares, probablement encore plus forts et avec encore plus d'attaques qu'en 2021.
Ransomware-as-a-Service
Au cours de l'année écoulée, il y a eu une évolution significative vers le modèle commercial de ransomware en tant que service (RaaS), dans lequel les groupes recrutent des partenaires pour gérer certaines parties des opérations. Ces multiples offres permettent aux cybercriminels même les moins avertis d'accéder à de puissants logiciels malveillants et à des kits d'outils malveillants, réduisant ainsi la barrière à l'entrée pour de nombreux attaquants potentiels.
Il existe essentiellement deux modèles différents : d'une part, les abonnements, où les rançongiciels peuvent être utilisés moyennant des frais, et d'autre part, les parts en pourcentage des bénéfices. La deuxième variante en particulier génère tout un écosystème de partenaires individuels, appelés affiliés, et de sous-groupes spécialisés dans certains domaines d'attaque.
Les techniques de numérisation de masse cherchent à accéder
Un exemple de la répartition croissante des tâches et de la spécialisation sont les "Initial Access Brokers" (IAB). Bien que ceux-ci ne soient pas un phénomène nouveau, ils connaissent actuellement un certain essor. Ils utilisent généralement des techniques d'analyse de masse pour identifier les hôtes vulnérables et ainsi obtenir un premier accès aux systèmes des victimes potentielles. Traditionnellement, ces accès sont vendus via des forums et des marchés clandestins, avec des prix basés sur la valeur perçue : par exemple, accéder à une grande entreprise bien connue et financièrement solide coûte plus cher que d'accéder à une petite entreprise. Cela permet aux groupes de rançongiciels de cibler leurs victimes de manière très ciblée. De nombreux IAB s'affilient ou s'associent désormais à des groupes de rançongiciels, devenant ainsi des sous-traitants. En retour, ils reçoivent une part de la rançon. Ceci est généralement plus lucratif que le modèle de vente classique.
Une part de profit élevée reflète toujours un risque plus élevé. En définitive, les partenaires en tant qu'"organes exécutifs" courent un risque plus élevé d'être découverts, tandis que les fournisseurs de RaaS en arrière-plan sont beaucoup moins à risque, d'autant plus qu'ils cachent souvent leur identité à leurs partenaires. S'ils devaient néanmoins être la cible des autorités de poursuite pénale, les groupes entrent généralement dans la clandestinité pendant une courte période pour se regrouper plus tard, généralement sous un autre nom.
Logiciel de rançon personnalisé
Varonis Threat Labs a identifié un nombre croissant de ransomwares conçus spécifiquement pour des victimes spécifiques au cours de l'année écoulée. Cela devrait rendre la détection beaucoup plus difficile et augmenter l'efficacité de l'attaque.
La plupart des menaces de rançongiciels sont des fichiers exécutables qui ciblent Windows et sont souvent distribués à l'aide de botnets. Cependant, les attaques sont également de plus en plus dirigées vers les hôtes basés sur Linux, y compris ceux utilisés pour le stockage de fichiers et la virtualisation (comme VMware ESX).
ALPHV (BlackCat) adapte le rançongiciel
Le groupe de rançongiciels ALPHV (BlackCat) récemment identifié développe des variantes Linux et Windows. Le ransomware est recréé pour chaque victime. Cela inclut, par exemple, le type de cryptage utilisé (comme le cryptage uniquement de parties de fichiers volumineux) ou l'intégration des informations d'identification de la victime pour permettre la propagation automatique du ransomware vers d'autres serveurs.
Mais non seulement le ransomware lui-même, mais aussi le montant de la rançon demandée est spécifiquement adapté à la victime : les données financières capturées de l'entreprise sont analysées afin de déterminer une somme finançable. Dans certains cas, même les polices d'assurance cyber sont examinées en détail pour le montant des dommages couverts, qui est ensuite présenté comme une réclamation par les cybercriminels.
La double extraction devient la norme
Avec l'approche "double extorsion", les données sont également volées avant cryptage afin de menacer de les publier et ainsi mettre encore plus de pression sur les victimes. En fin de compte, ce n'est pas le cryptage et la défaillance du système qui en résulte qui constitue la plus grande menace pour les entreprises, mais le vol de données : le vol et la publication de données personnelles (PII) nuisent non seulement à la réputation, mais peuvent également entraîner des amendes RGPD. Les cybercriminels menacent même désormais explicitement d'impliquer les autorités de contrôle compétentes. Mais les fuites de propriété intellectuelle peuvent également causer d'énormes dommages si des développements innovants sont ainsi également accessibles aux concurrents.
La mise au point tactique n'est pas terminée avec le double chantage. Les groupes de rançongiciels font constamment évoluer leurs méthodes d'extorsion, en commençant par une simple note de rançon, en passant par des tactiques de "voler, crypter et publier", en passant par contacter les clients, les employés, les autorités et la presse pour les informer de la compromission. Pour ajouter encore plus de pression, de nombreux groupes refusent de travailler avec les négociateurs et conseillent aux victimes de payer l'argent sans impliquer les fournisseurs de cybersécurité et les forces de l'ordre. Sinon, les victimes risqueraient une demande de rançon plus élevée ou une perte de données permanente.
Niveaux d'indexation comme moyen de pression pour payer
Certains cybercriminels ajoutent également un autre niveau d'escalade : avec cette "triple extorsion", soit les partenaires ou les clients concernés sont alors informés, soit d'autres attaques telles que les attaques DDoS sont menacées. Toutes ces mesures servent finalement à augmenter significativement la pression sur les victimes afin de les persuader de payer rapidement. Et apparemment avec succès : on estime que les ransomwares ont causé des dommages de 2021 6 milliards de dollars américains dans le monde en 2020. À titre de comparaison : le produit intérieur brut de la République fédérale d'Allemagne n'était « que » de 3,8 billions de dollars américains en XNUMX.
Plus sur Varonis.de
À propos de Varonis Depuis sa création en 2005, Varonis a adopté une approche différente de la plupart des fournisseurs de sécurité informatique en plaçant les données d'entreprise stockées à la fois sur site et dans le cloud au cœur de sa stratégie de sécurité : fichiers et e-mails sensibles, informations confidentielles sur les clients, les patients et les patients. Les dossiers des employés, les dossiers financiers, les plans stratégiques et de produits et toute autre propriété intellectuelle. La plate-forme de sécurité des données Varonis (DSP) détecte les menaces internes et les cyberattaques en analysant les données, l'activité des comptes, la télémétrie et le comportement des utilisateurs, prévient ou atténue les atteintes à la sécurité des données en verrouillant les données sensibles, réglementées et obsolètes, et maintient un état sûr des systèmes. grâce à une automatisation efficace.,