Une nouvelle étude d'Ivanti, Cyber Security Works (CSW), Cyware et Securin montre que, contrairement aux estimations optimistes, les menaces de ransomwares n'auront rien perdu de leur poids en 2022.
L'étude "2023 Spotlight Report: Ransomware from the perspective of weapon and vulnérabilité management" le dit clairement : Par rapport à l'année précédente, le nombre de vulnérabilités exploitées par les ransomwares a augmenté de près de 1/5 (19%). Parmi les 344 nouvelles menaces que les fournisseurs de sécurité ont pu identifier en 2022, on compte également 56 vulnérabilités directement liées aux ransomwares. Les acteurs de la menace puisent dans un pool de 180 vulnérabilités dont il a été prouvé qu'elles sont associées aux ransomwares. Et au cours du seul dernier trimestre de 2022, ils exploitaient activement 21 de ces vulnérabilités.
Découvert entre 2010 et 2019
Un autre chiffre est encore plus grave : plus des trois quarts (76 %) des vulnérabilités utilisées pour l'extorsion de données en 2022 ont déjà été découvertes entre 2010 et 2019. Parmi les vulnérabilités nouvellement exploitées par les ransomwares l'année dernière, 20 ont été découvertes entre 2015 et 2019. Ainsi, les acteurs de la menace recherchent activement sur le Web profond et sombre des vulnérabilités plus anciennes, en supposant qu'elles ne sont pas une priorité pour davantage d'équipes de sécurité.
Principales conclusions
- Les chaînes de destruction affectent de plus en plus de produits informatiques : Les groupes de rançongiciels utilisent des chaînes de destruction pour exploiter les vulnérabilités affectant 81 produits de fournisseurs tels que Microsoft, Oracle, F5, VMWare, Atlassian, Apache et SonicWall. Un MITRE ATT&CK complet, c'est-à-dire une description complète des tactiques et des technologies utilisées, est déjà disponible pour 57 vulnérabilités associées aux ransomwares.
- Les scanners ont des angles morts : Les scanners populaires tels que Nessus, Nexpose et Qualys ne parviennent pas à détecter 20 des vulnérabilités associées aux ransomwares.
- Plus d'attaques de rançongiciels par les groupes APT : CSW a observé plus de 50 groupes de menaces persistantes avancées (APT) utilisant des ransomwares pour les attaques - une augmentation de 51 % par rapport à 2020. Quatre groupes APT (DEV-023, DEV-0504, DEV-0832 et DEV-0950) ont été associés pour la première fois à des ransomwares dans le quatrième trimestre de 2022.
- La base de données des vulnérabilités présente des lacunes : Le catalogue KEV (Known Exploited Vulnerabilities) de la Cybersecurity and Infrastructure Security Agency (CISA) américaine contient 866 vulnérabilités, mais 131 des vulnérabilités associées aux ransomwares ne sont pas encore répertoriées.
- Problème open source avec les produits logiciels : La réutilisation du code open source reproduit les vulnérabilités. La vulnérabilité Apache Log4j CVE-2021-45046 est présente dans 93 produits de 16 fournisseurs, une autre vulnérabilité Apache Log4j (CVE-2021-45105) est présente dans 128 produits de 11 fournisseurs. Les deux sont exploités par le rançongiciel AvosLocker.
- Des vulnérabilités logicielles existent dans toutes les versions : Plus de 80 bogues CWE (Common Weakness Enumeration) créent des vulnérabilités que les attaquants exploitent. Cela représente une augmentation de 54 % par rapport à 2021. Ce résultat souligne l'importance pour les éditeurs de logiciels et les développeurs d'applications d'évaluer le code logiciel avant sa publication.
- Les scores CVSS masquent les risques : 57 vulnérabilités associées aux rançongiciels n'ont qu'un score CVSS faible et moyen. Dans les entreprises, cependant, ils peuvent encore causer d'immenses dégâts.
Prioriser et protéger sur le long terme
Les attaquants de type ransomware deviennent de plus en plus rapides et sophistiqués. Grâce à des plateformes automatisées qui identifient les vulnérabilités et évaluent leurs risques, les équipes informatiques sont en mesure de hiérarchiser les vulnérabilités les plus importantes en fonction de leur impact sur les actifs et de leur criticité. "Le rapport montre que de nombreuses entreprises ne mettent pas en pratique ce qu'elles savent des menaces", a déclaré Aaron Sandeen, PDG et co-fondateur de CSW et Securin. "Il est fondamental pour la sécurité d'une organisation que les équipes informatiques et de sécurité corrigent leurs logiciels dès que des vulnérabilités sont découvertes."
Corrigez les vulnérabilités les plus critiques
« Les ransomwares sont un problème critique pour toute organisation, qu'elle soit du secteur privé ou public », a déclaré Srinivas Mukkamala, directeur des produits chez Ivanti. « Les charges pesant sur les entreprises, les autorités et les particuliers augmentent rapidement. Il est impératif que toutes les entreprises comprennent vraiment leur surface d'attaque et dotent leur organisation d'une sécurité multicouche. Ce n'est qu'ainsi qu'ils pourront devenir résilients face au nombre croissant d'attaques. » « Les équipes informatiques et de sécurité doivent corriger en permanence les vulnérabilités les plus critiques afin de réduire considérablement la surface d'attaque de leurs organisations et d'accroître leur résilience contre les attaquants », déclare Anuj Goel, co-fondateur et PDG de Cyware. "Notre rapport montre où il est nécessaire d'agir, par exemple avec des vulnérabilités plus anciennes et open source."
Plus sur Ivanti.com
À propos d'Ivanti La force de l'informatique unifiée. Ivanti connecte l'informatique aux opérations de sécurité de l'entreprise pour mieux gouverner et sécuriser le lieu de travail numérique. Nous identifions les actifs informatiques sur les PC, les appareils mobiles, les infrastructures virtualisées ou dans le centre de données - qu'ils soient sur site ou dans le cloud. Ivanti améliore la prestation de services informatiques et réduit les risques commerciaux grâce à son expertise et à des processus automatisés. En utilisant des technologies modernes dans l'entrepôt et sur l'ensemble de la chaîne d'approvisionnement, Ivanti aide les entreprises à améliorer leur capacité de livraison, sans modifier les systèmes backend.