Le spécialiste Sophos ne connaît que trop bien le processus et les conséquences d'une attaque de ransomware réussie. Du point de vue de la victime : Voici comment fonctionne une attaque de ransomware.
Aucune organisation ne souhaite être victime de cybercriminalité. Mais s'il existe des vulnérabilités, les attaquants sont susceptibles de les trouver et de les exploiter. Et cela peut prendre des mois, voire plus, avant que la victime ne remarque même la maladie. Les soi-disant intervenants en cas d'incident aident les entreprises à identifier, bloquer et atténuer les attaques et leurs effets. Cette surveillance par des spécialistes permet également une analyse précise des modèles d'attaque et, par conséquent, une vue rapprochée de la façon dont la cybercriminalité affecte réellement les victimes.
Le véritable adversaire est l'homme, pas la machine
Les attaquants deviennent de plus en plus adeptes de la furtivité pour éviter d'éveiller les soupçons des équipes de sécurité et de ne pas être détectés. Par conséquent, différents niveaux de sécurité sont nécessaires pour briser la chaîne d'attaque à différents endroits. Alors que la violation initiale est automatisée, les pirates utilisent ensuite des outils informatiques légitimes, tels que des scanners de réseau, à leurs fins illégales afin de contourner les technologies de sécurité et de se déplacer latéralement sur le réseau. Le défi pour les victimes est que les équipes de sécurité informatique doivent être extrêmement vigilantes dans l'évaluation des outils qui sont légitimes, mais aussi populaires et couramment utilisés par les attaquants. De plus, les attaquants compromettent régulièrement les comptes d'administrateur existants afin de se cacher à la vue de tous. S'ils sont arrêtés dans leurs attaques, ils tentent autre chose. Et c'est là que se révèle l'un des aspects les plus importants de la cybercriminalité, encore trop sous-estimé par les victimes : vous ne combattez pas du code malveillant, vous combattez des personnes.
Le ransomware est le point final d'une cyberattaque
Selon les intervenants en cas d'incident, de nombreuses victimes pensent qu'une attaque s'est produite juste avant qu'elle ne devienne visible - par exemple via le message du rançongiciel. Cependant, c'est très rarement le cas. En fait, les attaquants ont généralement été sur le réseau pendant un certain temps avant ce moment. Ils opèrent cachés sous le radar, scannant le système, installant des portes dérobées et volant des informations. Toutes ces activités sont des marqueurs qui doivent être vérifiés pour faciliter la récupération complète de l'attaque. La partie de l'attaque qui sonne le plus l'alarme est le lancement d'un ransomware. À ce stade, l'attaquant réussit toutes les méthodes ci-dessus dans le réseau de la victime (voir le graphique des différents comportements des rançongiciels), lui permettant de briser la couverture et d'être présent. En d'autres termes, la mise en œuvre d'un rançongiciel marque la fin d'une attaque, pas le début.
Les victimes et les agresseurs sont exposés à un grand stress
Environ XNUMX % des attaques observées par les intervenants en cas d'incident impliquent des ransomwares, et l'impact de ces attaques est souvent dévastateur. Cela est particulièrement vrai pour les organisations critiques, telles que les établissements de santé, où une attaque réussie peut signifier des chirurgies annulées, des radiographies manquantes, des résultats de dépistage du cancer cryptés, etc.
Certaines victimes se sentent impuissantes et considèrent le paiement de la rançon comme la seule option, par exemple pour retrouver l'accès aux sauvegardes de données détournées par les attaquants. D'autres organisations choisissent de ne pas payer. D'autres encore s'inquiètent davantage de l'atteinte à leur réputation (publication de données volées) que de la rançon des clés de déchiffrement. Le ransomware lui-même varie de professionnel et sophistiqué à de mauvaise qualité et de mauvaise qualité. Les analyses de ransomwares ont montré que les attaques sont non seulement épuisantes et intimidantes pour les victimes, mais que les criminels sont aussi de plus en plus sous « stress du succès » : ils harcèlent de plus en plus les entreprises qui refusent de payer.
Défi de reconstruction : trouver la source
Les données des intervenants en cas d'incident suggèrent également que de nombreuses victimes ont du mal à comprendre le mouvement des rançongiciels dans l'organisation. Il existe une hypothèse générale selon laquelle, à partir de son point de départ, il s'étend automatiquement dans toutes les directions du réseau - alors qu'en réalité, il se concentre stratégiquement sur une liste présélectionnée d'appareils et de zones de réseau. Cela montre également que les attaquants ne ciblent pas seulement des documents et d'autres données, mais veulent simplement désactiver les appareils et les systèmes à un point tel qu'ils n'ont que suffisamment de ressources pour démarrer la notification du ransomware.
Pour les victimes d'une attaque, cela signifie que la restauration du système ne commence pas par la restauration d'une sauvegarde et la recherche de ce que les attaquants ont fait. Le processus de récupération commence souvent par le défi important de reconstruire toutes les machines affectées. Et avec elle la difficile tâche d'identification : d'où vient l'attaque et les criminels sont-ils peut-être encore dans le système ?
Défense contre le danger uniquement avec la machine et l'homme
Les caméras de surveillance peuvent enregistrer les crimes et dissuader les auteurs, mais elles ne peuvent pas arrêter l'effraction. Le facteur décisif est l'intervention de la force de sécurité, qui suit les enregistrements en direct et prend les mesures appropriées. À mesure que les cybercriminels sont devenus plus furtifs et ont amélioré leur capacité à utiliser des outils et des processus légitimes, la valeur du facteur humain dans la chasse aux menaces a augmenté. Cette méthode combine des algorithmes avancés de logiciels de sécurité de pointe avec une expertise humaine quotidienne capable d'évaluer les nuances d'une attaque - une compétence que les logiciels ne possèdent pas (encore).
En savoir plus sur Sophos.com[idboîteétoile=15]