Comme la plupart des industries, les cybercriminels se sont adaptés et ont changé au cours des deux dernières années à mesure que les circonstances ont changé. Ils disposent d'une multitude d'outils évolutifs dans leur arsenal et sont capables de tirer parti de nombreux vecteurs pour arriver à leur destination : les précieuses données d'entreprise. Les experts de Varonis expliquent ce que chaque dirigeant doit savoir sur les attaques de ransomwares modernes.
C'est ainsi que les attaquants modernes ont appris à lancer des campagnes de rançongiciels encore plus perturbatrices. En même temps, ils sont devenus plus efficaces et aptes à éviter les poursuites. C'est ainsi que les groupes de rançongiciels se regroupent après une (rare) rupture, construisent une nouvelle infrastructure et se donnent un nouveau nom. Tels que DarkSide, le groupe de rançongiciels à l'origine de plusieurs attaques de grande envergure, désormais connu sous le nom de BlackMatter. Souvent, après un tel réalignement, les cybercriminels reviennent plus forts, apprenant de leurs expériences et utilisant de nouvelles techniques et vulnérabilités. Ils disposent d'une multitude d'outils évolutifs dans leur arsenal et sont capables de tirer parti de nombreux vecteurs pour arriver à leur destination : les précieuses données d'entreprise.
Le démantèlement de l'infrastructure de REvil par les autorités russes et la confiscation d'au moins une partie du butin est certainement remarquable et encourageant. Bien sûr, ce n'est pas une raison pour être clair : combattre les cybercriminels, c'est comme éteindre un incendie dans une forêt sèche. Il peut être éteint, mais il peut s'enflammer à nouveau n'importe où, n'importe quand.
Les ransomwares comme modèle économique
La cyber-extorsion promet de gros profits, stimulant le développement et l'innovation de la part des criminels. Les tentatives de réglementation des crypto-monnaies comme le Bitcoin et de limitation de leur anonymat semblent sensées mais difficiles à appliquer. De plus, les attaquants utilisent déjà des monnaies numériques telles que Monero, qui sont plus difficiles à suivre. Tant que les conditions sous-jacentes ne changent pas fondamentalement, les entreprises doivent supposer que les gangs de ransomwares continueront d'exister, affiner leurs techniques et cibler leurs données critiques.
La plupart des cybercriminels s'appuient désormais sur le modèle efficace de rançongiciel en tant que service (RaaS), qui permet aux attaquants indépendants de frapper rapidement et de démarrer. Vous pouvez combiner ce service avec vos propres outils et techniques pour attaquer efficacement les victimes et prendre leurs données en otage. Les attaquants adoptent de plus en plus l'approche de la "double extorsion", dans laquelle les données sont volées avant d'être cryptées afin de mettre encore plus de pression sur les victimes en menaçant de les publier. De plus, les attaquants menacent désormais souvent de porter plainte auprès des autorités officielles de protection des données, sachant que les entreprises craignent les amendes qui y sont menacées et veulent éviter d'être dénoncées en public.
Pour maximiser leurs profits, les attaquants passent au peigne fin les dossiers de leurs victimes pour estimer leur marge de manœuvre financière et savoir si et combien leur cyber-assurance paierait en cas d'attaque. La demande de rançon est alors fixée en conséquence.
Différentes approches, même objectif
Au fil du temps, chaque groupe développe un modus operandi spécifique. Par exemple, BlackMatter manipule souvent les contrôles d'accès, c'est-à-dire les paramètres de sécurité qui déterminent qui peut accéder à quelles données sur le réseau, afin que chaque employé ait accès à d'énormes quantités de données. En d'autres termes, ils ne cassent pas le coffre-fort, ils le font exploser, ce qui rend les organisations encore plus vulnérables aux attaques futures. D'autres attaquants recrutent activement des initiés de l'entreprise tels que des employés et d'autres qui sont déjà sur le réseau de l'entreprise. Les employés insatisfaits en particulier y sont souvent sujets. Pour augmenter la pression sur les victimes, certains cybercriminels divulguent également de petites quantités de données volées.
Voici comment la défense contre les ransomwares peut être renforcée
Michael Scheffler, Country Manager DACH chez Varonis Systems (Image : Varonis).
Tant que les rançongiciels promettent des profits énormes aux criminels, ils continueront à chercher et à trouver des victimes. Pour les entreprises, il s'agit de ne pas être une victime facile et d'augmenter leur propre résilience face aux menaces liées aux données.
- Éliminez les mots de passe faibles et réutilisés et activez l'authentification multifacteur (MFA). Cette étape importante est l'une des plus simples que vous puissiez prendre pour protéger votre entreprise. De nombreux groupes, tels que BlackMatter, acquièrent des noms d'utilisateur et des mots de passe sur le dark web et les utilisent pour des attaques par force brute.
- Reconnaître une activité inhabituelle. Dans la plupart des organisations, vos employés et sous-traitants respectent les horaires de travail quotidiens, accèdent aux mêmes fichiers et utilisent les mêmes appareils à partir d'emplacements connus. Une activité inhabituelle, telle que la connexion à partir d'un nouvel emplacement et l'accès à des fichiers non nécessaires au travail, peut indiquer des comptes ou des appareils compromis. Les activités inhabituelles, en particulier lorsqu'elles sont associées à des comptes de gestion et de service, doivent être surveillées avec une priorité élevée et arrêtées rapidement si nécessaire.
- Surveillez vos données pour détecter des signes d'attaques de ransomwares. Le ransomware ne se comporte pas comme votre spécialiste RH ou votre équipe comptable. Lorsqu'un rançongiciel est déployé, il commence rapidement à ouvrir un grand nombre de données, à les évaluer puis, si nécessaire, à chiffrer également ces fichiers. Les employés chiffrent également légitimement les fichiers. Cependant, les logiciels malveillants ont tendance à se comporter différemment d'un utilisateur humain, modifiant ou chiffrant généralement des fichiers par lots et à haute fréquence. Cela se produit souvent en dehors des heures de travail. Cela rend la reconnaissance beaucoup plus difficile et les fichiers peuvent être cryptés sans entrave.
- Adoptez une approche centrée sur les données. Malgré l'explosion des terminaux, la plupart des données sont stockées sur site et dans le cloud avec de grands magasins de données centralisés. En même temps, il existe un nombre énorme de vecteurs pour accéder à ces données. Même si vous pouviez pleinement les anticiper et les surveiller, vous seriez probablement inondé d'alertes de sécurité. Plutôt que de commencer « à l'extérieur » avec tous les terminaux et vecteurs et de vous frayer un chemin jusqu'aux données, il est beaucoup plus logique de commencer à protéger vos grands magasins de données centralisés.
- La plupart des entreprises ignorent combien de données sont trop facilement accessibles et non protégées. Un seul utilisateur compromis a le potentiel d'accéder à de grandes quantités de données sensibles et de les compromettre. Le rapport sur les risques liés aux données pour le secteur financier, qui est en fait sensible à la sécurité, montre que chaque employé a accès en moyenne à près de 11 millions de fichiers dès son premier jour de travail, et dans les grandes entreprises même à environ 20 millions - une énorme explosion rayon.
Si vous voulez rendre votre entreprise résiliente, commencez par votre plus grand atout. Les entreprises savent ce que veulent les attaquants : les données. Le modèle de moindre privilège permet aux entreprises de n'accorder à leurs employés que l'accès dont ils ont réellement besoin pour leur travail. En limitant systématiquement l'accès aux données et en les surveillant de plus près, vous rendez la tâche beaucoup plus difficile aux attaquants.
Plus sur Varonis.com
À propos de Varonis Depuis sa création en 2005, Varonis a adopté une approche différente de la plupart des fournisseurs de sécurité informatique en plaçant les données d'entreprise stockées à la fois sur site et dans le cloud au cœur de sa stratégie de sécurité : fichiers et e-mails sensibles, informations confidentielles sur les clients, les patients et les patients. Les dossiers des employés, les dossiers financiers, les plans stratégiques et de produits et toute autre propriété intellectuelle. La plate-forme de sécurité des données Varonis (DSP) détecte les menaces internes et les cyberattaques en analysant les données, l'activité des comptes, la télémétrie et le comportement des utilisateurs, prévient ou atténue les atteintes à la sécurité des données en verrouillant les données sensibles, réglementées et obsolètes, et maintient un état sûr des systèmes. grâce à une automatisation efficace.,