Comme le montre le rapport d'Ivanti sur les ransomwares Q2-Q3 2022, les attaques de ransomwares ont plus que quadruplé depuis 2019, y compris une utilisation accrue dans la guerre. Les organisations doivent être conscientes du paysage des menaces et de leurs vulnérabilités.
Ivanti, le fournisseur d'Ivanti Neurons, la plate-forme d'automatisation qui découvre, gère, sécurise et nourrit les actifs informatiques du cloud à la périphérie, a publié les résultats de son rapport Q2-Q3 2022 Ransomware Index. Le rapport montre que les ransomwares ont plus que quadruplé (2019 %) depuis 466. En outre, les rançongiciels sont de plus en plus utilisés comme arme de guerre, comme en témoignent la guerre en Ukraine et la cyberguerre entre l'Iran et l'Albanie.
Plus d'attaques, plus de variantes
Le rapport constate que les groupes de ransomwares se multiplient tout en devenant plus sophistiqués : 2022 vulnérabilités peuvent être liées à des ransomwares au cours des trois premiers trimestres de 35. De plus, il existe actuellement 159 exploits en vogue et activement exploités. Une autre complication pour les entreprises est le manque de données et d'informations suffisantes sur la situation de la menace. Par conséquent, il leur est difficile de corriger efficacement leurs systèmes et de remédier efficacement aux vulnérabilités.
Dix nouvelles familles de rançongiciels ont également été identifiées dans le rapport (Black Basta, Hive, BianLian, BlueSky, Play, Deadbolt, H0lyGh0st, Lorenz, Maui et NamPoHyu). Cela porte leur total à 170. Avec 101 CVE pour le phishing, les attaquants de ransomwares s'appuient de plus en plus sur les techniques de spear phishing pour attirer leurs victimes et livrer leur charge utile malveillante.
Nouvelles familles de rançongiciels comme Black Basta & Co
Les rançongiciels ne réussissent qu'avec le facteur humain. Cependant, le phishing comme seule méthode d'attaque est un mythe. Dans le cadre du rapport, 323 vulnérabilités actuelles des ransomwares ont été analysées et mappées au cadre MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK). La base de données contient des informations sur les méthodes de cyberattaque basées sur des observations réelles. Cela permet d'identifier des tactiques, des techniques et des procédures précises qui peuvent servir de « chaîne de destruction » dans les attaques contre une organisation. La chaîne de destruction cybernétique en plusieurs étapes décrit une pénétration de plus en plus profonde des cybercriminels. Le résultat : Pour 57 des vulnérabilités analysées, les systèmes peuvent être complètement repris, du premier accès à l'exfiltration.
Bases de données de vulnérabilités incomplètes
Le rapport révèle également deux nouvelles vulnérabilités de ransomwares (CVE-2021-40539 et CVE-2022-26134), qui ont toutes deux été exploitées par des familles de ransomwares répandues telles que AvosLocker et Cerber avant ou le jour de leur publication dans la base de données nationale des vulnérabilités. (NVD) ont été publiés. Cela montre que les entreprises qui s'appuient uniquement sur la publication de la NVD pour corriger les vulnérabilités sont plus vulnérables aux attaques.
Srinivas Mukkamala, Chief Product Officer chez Ivanti, déclare : « Les équipes informatiques et de sécurité doivent de toute urgence adopter une approche basée sur les risques pour la gestion des vulnérabilités afin de mieux se protéger contre les ransomwares et autres menaces. Cela comprend l'utilisation de technologies d'automatisation qui corrèlent les données provenant de diverses sources (par exemple, les scanners de réseau, les bases de données de vulnérabilités internes et externes et les tests de pénétration), évaluent les risques, fournissent une alerte précoce des menaces, prévoient les attaques et hiérarchisent les contre-mesures. Les organisations qui continuent de s'appuyer sur des approches traditionnelles de gestion des vulnérabilités, telles que l'utilisation exclusive de NVD et d'autres bases de données publiques pour hiérarchiser et corriger les vulnérabilités, sont constamment exposées à un risque élevé de cyberattaques.
Les scanners ont des angles morts
Le rapport révèle que 18 vulnérabilités liées aux ransomwares ne sont pas détectées par les scanners populaires. Cela souligne l'importance d'utiliser plus que les approches traditionnelles de gestion des vulnérabilités. Selon Aaron Sandeen, PDG de Cyber Security Works, "Les perspectives sont sombres si les scanners sur lesquels les organisations s'appuient ne parviennent pas à détecter les vulnérabilités. Les entreprises doivent déployer une solution de gestion de la surface d'attaque capable de détecter les vulnérabilités de tous les actifs de l'entreprise.
Les infrastructures critiques deviennent la cible
En outre, le rapport analyse l'impact des ransomwares sur les infrastructures critiques. Les données montrent que 47,4 % des vulnérabilités des ransomwares affectent les systèmes de santé, 31,6 % les systèmes énergétiques et 21,1 % les installations de fabrication critiques. Anuj Goel, co-fondateur et PDG de Cyware, déclare : « Bien que les stratégies de récupération des incidents se soient améliorées au fil du temps, mieux vaut prévenir que guérir. Analyser correctement le contexte de la menace et prendre des mesures proactives.
Logiciels malveillants tendance
Le rapport identifie spécifiquement les logiciels malveillants avec des fonctions multiplateformes comme des tendances de ransomwares. Grâce à lui, les opérateurs de ransomwares peuvent facilement cibler plusieurs systèmes d'exploitation avec une seule base de code. Le rapport révèle également un nombre important d'attaques contre des solutions de sécurité tierces et des bibliothèques de codes logiciels. Pour l'avenir, les organisations doivent continuer à anticiper les nouveaux groupes de ransomwares. Il est vrai que des groupes bien connus tels que Conti et DarkSide seraient en train de se dissoudre. Cependant, il offre aux nouveaux groupes la possibilité de réutiliser ou de modifier le code source et les méthodes d'attaque dont ils ont hérité des anciens groupes de rançongiciels.
Le rapport Ransomware Index Spotlight est basé sur des données provenant de diverses sources, y compris des données propriétaires d'Ivanti et de CSW, des bases de données sur les menaces accessibles au public et des informations provenant de chercheurs sur les menaces et d'équipes de test d'intrusion. Ivanti a mené l'étude en partenariat avec Cyber Security Works, une autorité de numérotation de certification (CNA), et Cyware, un fournisseur leader de la plate-forme technologique pour la construction de centres Cyber Fusion. Cliquez ici pour télécharger le rapport complet.
Plus sur Ivanti.com
À propos d'Ivanti La force de l'informatique unifiée. Ivanti connecte l'informatique aux opérations de sécurité de l'entreprise pour mieux gouverner et sécuriser le lieu de travail numérique. Nous identifions les actifs informatiques sur les PC, les appareils mobiles, les infrastructures virtualisées ou dans le centre de données - qu'ils soient sur site ou dans le cloud. Ivanti améliore la prestation de services informatiques et réduit les risques commerciaux grâce à son expertise et à des processus automatisés. En utilisant des technologies modernes dans l'entrepôt et sur l'ensemble de la chaîne d'approvisionnement, Ivanti aide les entreprises à améliorer leur capacité de livraison, sans modifier les systèmes backend.