Les cybercriminels agissent dans un but lucratif, comme nous le savons dans les entreprises, et continuent de professionnaliser et de rationaliser leurs méthodes d'attaque. C'est pourquoi 2024 sera une nouvelle année de ransomware.
En 2024, nous pouvons nous attendre à ce que le secteur des ransomwares devienne plus opportuniste, a déclaré Martin Zugec, directeur des solutions techniques chez Bitdefender. Cette tendance a culminé avec l’attaque CitrixBleed en 2023. Les experts en sécurité de Bitdefender Labs s’attendent à ce que les tendances suivantes dominent l’activité des ransomwares cette année :
1. Exploitation accélérée des exploits Zero Day
Les cybercriminels qui utilisent de manière rationnelle et efficace des analyses automatisées pour rechercher des failles dans les réseaux de leurs victimes tenteront d'exploiter de manière rentable les vulnérabilités découvertes dans les 24 heures. Après une analyse manuelle, ils sélectionnent les outils d’attaque optimaux. Afin d'agir plus rapidement et d'anticiper les mesures de correctifs de plus en plus prioritaires des entreprises, les acteurs disposant des compétences et des ressources informatiques appropriées investissent dans de véritables vulnérabilités zero-day et n'attendent plus les codes de preuve de concept (PoC).
Les groupes de ransomware continuent de se concentrer sur les applications d'entreprise. Ce logiciel n'est pas mis à jour aussi rapidement et automatiquement que les solutions des utilisateurs finaux telles que les navigateurs ou les logiciels bureautiques. Les cybercriminels tentent de prolonger autant que possible les délais résultant de cette approche de mise à jour plus conservatrice. Le processus requis par les courtiers d'accès ou les affiliés de ransomware pour prioriser les opportunités d'attaque offre aux défenseurs la possibilité d'identifier et d'atténuer la menace. Les entreprises se concentreront donc bientôt davantage sur la gestion des risques.
2. Les cybercriminels ne sont pas exigeants quant au secteur qu'ils ciblent - les développeurs de jeux
La sélection des cibles d’attaque possibles et l’approche dépendent du secteur ou de la taille de l’entreprise. Les groupes de ransomwares sont de plus en plus capables de comprendre les profils de risque de leurs victimes. L’industrie manufacturière et les secteurs similaires dépendant des entreprises sont des cibles privilégiées pour le cryptage des informations nécessaires à cet effet, tandis que les cabinets de soins de santé ou d’avocats sont des cibles plus faciles pour le vol de données. Les experts de Bitdefender Labs s’attendent à une augmentation des attaques contre les développeurs de jeux en 2024.
Les petites ou moyennes entreprises dont le potentiel de rançon est intrinsèquement limité servent de source de relations commerciales pour étendre les attaques via ces canaux. Cela se produit souvent via la connectivité VPN/VDI ou via des e-mails professionnels compromis. La connaissance des liens existants qui peuvent être utilisés pour étendre les attaques au groupe cible le plus large possible constitue l’atout le plus précieux pour les affiliés de ransomwares dans ce groupe de victimes. Les attaques indirectes via la chaîne d’approvisionnement deviennent de plus en plus efficaces.
3. Code standardisé modernisé
Le code de ransomware de haute qualité deviendra courant en 2024. Les développeurs de ransomwares utilisent de plus en plus Rust comme langage de programmation principal. Il permet d’écrire du code plus sécurisé. L'ingénierie inverse et l'analyse de ces attaques sont difficiles pour les analystes en sécurité. Rust permet également aux pirates de compiler du code pour différents systèmes d'exploitation. Bien que les ransomwares pour macOS ne soient pas attendus, ils permettent de cibler de plus en plus facilement les hyperviseurs et autres charges de travail des serveurs.
À l’avenir, le code des ransomwares favorisera le chiffrement partiel intermittent et passera progressivement à des méthodes résistantes quantiques telles que le chiffrement NTRU. La méthode intermittente rend plus difficile la détection des attaques par les outils de sécurité, car le fichier est statistiquement similaire à l'original. De plus, les ransomwares peuvent désormais chiffrer davantage de fichiers plus rapidement.
4. Éloignez-vous du cryptage pour privilégier le vol de données
La tendance à l’exfiltration des données se poursuit, en dehors de la production et de la fabrication. Des groupes tels que CL0P, BianLian, Avos, BlackCat, Hunters International et Rhysida sont pionniers de cette tendance.
Menacer de transmettre, de vendre ou de divulguer des données peut entraîner le paiement de rançons plus élevées. Après un vol d'informations, les victimes ont deux options : elles peuvent tenter d'assurer la confidentialité des données (en payant) ou accepter que les attaquants les publient. Cependant, avec le cryptage, diverses options sont disponibles, telles que la restauration d'informations à partir de sauvegardes. Mais pas à 100 pour cent.
D’un autre côté, lorsqu’ils volent ou divulguent des données, les cybercriminels peuvent se faire passer pour des testeurs d’intrusion involontaires et proposer de gérer les violations en toute discrétion. Il s’agit de facteurs plus doux que lors du cryptage d’informations, où les pirates peuvent détruire irrémédiablement les données. Les maîtres chanteurs exploitent la connaissance des exigences de conformité pour générer des rançons toujours plus élevées.
5. L’industrie cybercriminelle recherche des travailleurs qualifiés
La concurrence entre les groupes criminels de ransomware va s’intensifier. Ils recherchent donc du personnel approprié. Non seulement des compétences techniques sont nécessaires pour mener des attaques, mais également un savoir-faire en matière de cyber-assurance, de conformité et de réglementation légale afin de maximiser les rançons. Cela ouvre la possibilité aux spécialistes non techniques de rejoindre l’écosystème criminel en pleine croissance.
Sur le marché des ransomwares-as-a-service, la réputation d'une organisation joue un rôle de plus en plus important. Les groupes rencontrant des problèmes opérationnels sont donc susceptibles de se renommer en conséquence. Néanmoins, ils auront du mal à recruter des partenaires affiliés adaptés sous la nouvelle « marque », surtout après plusieurs échecs. Certains cybercriminels pourraient décider à l’avenir de vendre leurs actifs restants à d’autres, puis de se dissoudre, comme le montrent les exemples de Hive et Hunters International.
6. Perturber la cybercriminalité contrôlée par l’État
En 2024, les auteurs de ransomwares qui agissent de manière opportuniste et dans un but lucratif adopteront également des outils et des techniques auparavant connus des attaquants parrainés par l’État. Les gouvernements qui ont auparavant toléré ces groupes devront peut-être établir des règles d’engagement. Cela est particulièrement vrai lorsque les opérations cybercriminelles commencent à provoquer des conflits avec des pays alliés ou à porter atteinte aux intérêts de leur propre gouvernement.
Les modèles économiques des ransomwares ont considérablement évolué depuis 2017. Les attaquants et les victimes de tous secteurs et de toutes tailles assistent actuellement à une énorme transformation dans ce domaine. Face à des attaques de plus en plus sophistiquées, les victimes n'ont d'autre choix que d'utiliser non seulement des outils tels que Extended Detection and Response (XDR), mais également d'élargir davantage leurs compétences et capacités en matière de défense, par exemple grâce à la Managed Detection and Response (MDR).
Plus sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de