Les rançongiciels ont évolué au fil du temps. Tout cela est illustré par l'attaque du rançongiciel Colonial Pipeline, qui n'est qu'une partie d'une nouvelle vague d'attaques contre des victimes de haut niveau. Un commentaire de Jon Clay, directeur Global Threat Communications, Trend Micro.
Après la cyberattaque contre l'un des plus grands oléoducs aux États-Unis, les opérations ont été temporairement suspendues. Les acteurs malveillants recherchent les frais d'extorsion les plus élevés possibles, ils ciblent donc les organisations qui sont plus disposées à payer si elles perturbent leurs opérations. Cela a déjà été observé chez les victimes des secteurs gouvernemental et éducatif. Plus les criminels peuvent infliger de souffrances à une organisation, plus il est probable que la victime paiera. Que peuvent faire les entreprises ?
Les attaques de ransomwares sont passées par plusieurs étapes et nous observons maintenant la phase 4 :
1ère phase : Simple rançongiciel, les fichiers sont cryptés puis la demande de rançon est faite... puis en attente de paiement en bitcoin.
2ère phase : Double extorsion. Phase 1 + exfiltration de données et menace de divulgation. Maze a été le premier rançongiciel à le faire, et les autres groupes d'acteurs ont emboîté le pas.
3ère phase : Triple extorsion. Phase 1 + Phase 2 et menace de DDoS. Avaddon a été le premier cas documenté.
4ère phase : Quadruple chantage. Phase 1 + (éventuellement Phase 2 ou Phase 3) + publipostage direct à la clientèle de la victime. Cl0p a été utilisé pour la première fois de cette manière, a décrit Brian Krebs.
Aujourd'hui, il s'agit principalement d'une double extorsion, mais nous constatons une évolution vers le ciblage des systèmes commerciaux critiques. Dans ce cas récent aux États-Unis, aucun système OT ne semble avoir été affecté, mais les systèmes informatiques connectés au réseau ont probablement été ciblés. Cependant, cela pourrait changer car de nombreuses organisations ont un réseau OT qui est essentiel à leurs opérations et pourrait donc devenir une cible. Nous avons déjà expliqué comment les entreprises manufacturières sont attaquées avec des rançongiciels modernes et quel en est l'impact.
conséquences pour les entreprises
La défaillance des systèmes qui contrôlent les opérations quotidiennes d'une entreprise peut causer des dommages financiers et de réputation. Mais une attaque pourrait également avoir des conséquences imprévues en ciblant trop en évidence, et l'attaque du Colonial Pipeline pourrait en être un exemple. La destruction d'un élément important de l'infrastructure critique d'un pays, même si le motif n'est «que» un gain financier, pourrait entraîner des mesures sévères contre les acteurs à l'origine de l'attaque. Ainsi, à l'avenir, les acteurs malveillants devront peut-être évaluer l'impact potentiel de l'attaque sur leur cible et décider s'il est judicieux sur le plan commercial de lancer une attaque.
Les contre-mesures appropriées
Les rançongiciels continueront d'être utilisés à l'avenir. En tant que telles, les organisations doivent prendre le temps de créer un plan de réponse aux incidents qui répond au nouveau modèle d'attaques de ransomwares. Quelques éléments doivent être pris en compte :
- Acceptez que votre entreprise puisse devenir une victime. Toute organisation peut potentiellement être sur le radar d'acteurs malveillants, mais ceux qui opèrent dans des infrastructures critiques doivent maintenant évaluer la probabilité d'être attaqués.
- L'accès en tant que service est maintenant utilisé régulièrement. Dans ce cas, un autre groupe effectue généralement le premier accès et le vend à un autre groupe. Les attaquants déterminés trouveront toujours un moyen d'accéder à votre réseau, que ce soit via le phishing, un système vulnérable exposé à Internet ou une attaque de la chaîne d'approvisionnement.
- L'utilisation malveillante d'outils légitimes est l'une des tactiques les plus populaires tout au long du cycle d'attaque.
- Les identifiants de compte de vos administrateurs et applications importants sont ciblés.
- Les acteurs du ransomware tentent de siphonner les données qui semblent se prêter à un double chantage.
- Le composant ransomware sera la dernière option dans l'activité malveillante car il s'agit de la partie la plus visible d'un cycle d'attaque et montre à la victime qu'un système a été compromis.
Les entreprises exploitant des réseaux OT doivent réfléchir aux points suivants :
- Comprenez les risques si votre réseau OT tombe en panne.
- Configurez un modèle de sécurité pour les appareils du réseau OT, en particulier ceux qui ne prennent pas en charge un agent de sécurité.
- La segmentation du réseau est essentielle.
- Si votre réseau OT doit être arrêté en raison d'une compromission du réseau informatique, vous devez réfléchir à la manière de surmonter cette limitation.
Cette dernière attaque est un autre signal d'alarme pour toutes les organisations afin de renforcer leurs réseaux contre les attaques et d'améliorer leur sensibilisation lorsque des acteurs malveillants se trouvent sur leur réseau. Nous disposons d'une plate-forme de cybersécurité multicouche, Trend Micro Vision One, qui peut aider à améliorer la détection et la réponse aux dernières attaques de ransomwares et à augmenter la visibilité.