Les offres « as-a-service » peuvent être trouvées partout dans l'informatique. Les cybercriminels ont également adapté cette idée de service et proposent des ransomwares en tant que service, RaaS en abrégé, depuis un certain temps déjà. Cela signifie que des attaquants moins sophistiqués peuvent également mener des attaques de ransomware. Le nombre d'attaques augmente tellement. Une analyse par Arctic Wolf.
Wie une Étude de l'association numérique Bitcom eV montre, 2020% de toutes les entreprises ont été touchées par des attaques de ransomwares en 21/88. L'essor du travail à distance, du bureau à domicile, de la cloudification et des appareils IoT en réseau fait le jeu des attaquants, car ces tendances augmentent la surface d'attaque et offrent de nouvelles passerelles.
Lors de telles attaques, les cybercriminels s'introduisent dans les systèmes de l'entreprise et volent et/ou cryptent certaines informations. Afin de pouvoir décrypter à nouveau ces données, une rançon est alors exigée. Outre les dommages financiers considérables causés par les processus de paiement ou de recouvrement, de telles attaques peuvent également entraîner d'énormes dommages à la réputation. Une majorité de ces attaques (estimation Pour cent 64) ont déjà lieu en utilisant la méthode RaaS - et la tendance est à la hausse.
Un service du côté obscur
Dans le cas des offres RaaS, les groupes de rançongiciels tels que Conti, REvil ou RagnarLocker et leurs groupes dissidents et successeurs fournissent les outils ou plateformes appropriés ainsi que des services supplémentaires tels que des instructions, des meilleures pratiques et même un helpdesk informatique. Bien que les noms des groupes soient très volatils, les acteurs réels restent souvent les mêmes. Ils agissent de manière très professionnelle et n'ont rien à voir avec le cliché commun des hackers du loup solitaire portant un sweat à capuche. En fait, on ne peut guère les distinguer des entreprises réputées : avec leur propre service des ressources humaines, des programmes de primes et des récompenses pour « l'employé du mois », comme récemment un piratage a montré.
Cyber gangster avec structure d'entreprise
Les services peuvent généralement être trouvés via le Web profond ou sombre. Les fournisseurs diffèrent parfois considérablement dans ce qu'ils offrent. Tout comme avec les fournisseurs de services réputés, les gangs RaaS offrent également tout ce qu'un cœur (criminel) désire, du simple achat de ransomware à un modèle d'abonnement. Les fournisseurs proposent également différents modèles en matière de stratégie de tarification - du paiement unique à l'achat aux modèles de leasing et aux parts de la rançon.
Les crypto-monnaies telles que Bitcoin, Monero et Co. sont un facteur clé de succès pour les attaques RaaS, car elles sont difficiles à tracer et peuvent être « blanchies » relativement facilement. En tant que tels, ils sont excellents pour les paiements RaaS et les demandes de rançon, et il est peu probable que le récent Baisse du prix de la crypto-monnaie beaucoup va changer. La baisse des prix est simplement compensée dans la phase de négociation avec la victime.
Que faire quand les choses deviennent sérieuses ?
Le cryptage des systèmes et la menace de publier les données capturées, telles que les informations sur les clients, les détails des produits et les données financières, peuvent menacer l'existence des entreprises. C'est ce qui rend le RaaS si attrayant et fait des rançongiciels une monnaie d'échange incroyablement puissante entre les mains des cybercriminels. Si une attaque de ransomware réussit, de nombreuses entreprises sont souvent perdues au début. Désespéré et impuissant, ils n'ont souvent pas d'autre choix que de répondre à la demande de rançon - bien que le LKA, le BKA et le BSI le déconseillent strictement, afin de ne pas financer en plus le crime organisé et de créer une motivation pour de nouveaux crimes. Mais comment les entreprises doivent-elles réagir ?
Après l'attaque, le repos compte
docteur Sebastian Schmerl, directeur des services de sécurité EMEA, Arctic Wolf
Tout d'abord, restez calme ! L'attaque aiguë n'est pas le bon moment pour attribuer le blâme. Au contraire, il est maintenant temps de travailler ensemble et de ne pas agir à la hâte. Les autorités compétentes doivent être informées immédiatement (elles sont également disponibles pour fournir des conseils). Si une entreprise a déjà un plan d'urgence en place, il doit être suivi. L'étape suivante consiste à analyser et à réfléchir sur la situation, puis à initier les contre-mesures nécessaires. Si les ressources et l'expertise internes font défaut dans cette situation exceptionnelle, les entreprises peuvent également se tourner vers l'aide professionnelle de prestataires de services de sécurité externes tels que Loup arctique se replier sur.
- La première étape consiste à clarifier la situation actuelle. Cela signifie la mise en œuvre de Réponse aux incidents- Mesures pour arrêter la propagation de l'incident.
- Une fois le statu quo clarifié, ils doivent étendue des dégâts et options de récupération être déterminé. Quelles sauvegardes sont encore disponibles et doivent être mises hors ligne ? Quels services sont affectés, quelles données sont chiffrées et quelles actions de récupération doivent être entreprises ?
- Une fois ces questions résolues, la troisième étape consiste à Informations sur les menaces à rassembler, c'est-à-dire toutes les informations sur les attaquants, les logiciels malveillants utilisés et les incidents similaires.
- Dans la quatrième étape, le Business Case mis en place – la demande de rançon doit-elle être satisfaite ou non ? Tous les aspects doivent être pesés très attentivement : le capital de l'entreprise, les atteintes possibles à la réputation, les poursuites judiciaires, etc.
- Dans la cinquième et dernière étape, nous passons aux choses sérieuses : la Négociations avec les cybercriminels. Il y a deux points à noter ici : Des négociations sont en cours avec des criminels, c'est-à-dire qu'il n'y a aucune garantie. Néanmoins, la politesse est de mise afin de ne pas embêter inutilement l'autre personne.
Ransomware : mieux vaut prévenir que guérir
Que la rançon ait été payée ou non, le dossier doit être bien traité afin de mieux positionner l'entreprise à l'avenir. Après l'attaque, tous les systèmes doivent donc d'abord être soigneusement analysés et nettoyés, et les données de connexion de tous les utilisateurs doivent être réaffectées. De plus, une chasse intensive ou une surveillance du web public, sombre et profond devrait suivre pour s'assurer qu'aucune donnée n'a vraiment été publiée.
Dernier point mais non le moindre : mieux vaut prévenir que guérir ! « La meilleure protection contre les attaques de ransomwares est une bonne préparation. Les failles de sécurité et les faiblesses du système doivent être comblées avec des correctifs réguliers et une surveillance complète de la sécurité doit être effectuée. Comme c'est souvent le cas, la plus grande faiblesse est le facteur humain. La mesure la plus importante est donc de former régulièrement les employés et d'établir ainsi un état d'esprit de sécurité dans l'entreprise. Si l'entreprise ne dispose pas des ressources internes nécessaires pour cela, elle peut se tourner vers des experts en sécurité dignes de confiance - comme Arctic Wolf - qui l'aident à mettre en œuvre ces mesures de sécurité. Si tout cela est pris en compte, l'entreprise est bien préparée pour une urgence. selon le Dr. Sebastian Schmerl, directeur des services de sécurité EMEA, Arctic Wolf.
Plus sur ArcticWolf.com
À propos du loup arctique Arctic Wolf est un leader mondial des opérations de sécurité, fournissant la première plate-forme d'opérations de sécurité native dans le cloud pour atténuer les cyber-risques. Basé sur la télémétrie des menaces couvrant les points finaux, le réseau et les sources cloud, Arctic Wolf® Security Operations Cloud analyse plus de 1,6 billion d'événements de sécurité par semaine dans le monde. Il fournit des informations essentielles à l'entreprise dans presque tous les cas d'utilisation de la sécurité et optimise les solutions de sécurité hétérogènes des clients. La plateforme Arctic Wolf est utilisée par plus de 2.000 XNUMX clients dans le monde. Il fournit une détection et une réponse automatisées aux menaces, permettant aux organisations de toutes tailles de mettre en place des opérations de sécurité de classe mondiale en appuyant simplement sur un bouton.
Articles liés au sujet