Back to Blog ブログ一覧へ戻る

Les dommages causés par les ransomwares sont-ils irréversibles ?

By
Claire Loffler
|
October 14, 2021

Les entreprises continuent d'être impactées par les ransomwares et mobilisent toujours plus d'argent, de ressources, d'énergie et de temps pour se protéger contre des attaques dont le volume et la complexité ne font que s'intensifier. Les opérateurs de ransomware ont évolué rapidement ces derniers mois et ne s'appuient désormais plus seulement sur le chiffrement de fichiers et de données. Pour faire face aux perturbations majeures provoquées par le chiffrement de leurs fichiers et données dans le cadre d'une attaque par ransomware, les entreprises ont pris l'habitude de réaliser des sauvegardes régulières de leurs données. Cette approche n'est malheureusement plus suffisante pour permettre aux entreprises de se remettre des nombreux dégâts causés par les auteurs de ransomware, et ces dommages sont le plus souvent irréversibles.

Les cyberpirates mettent en œuvre de plus en plus d'attaques avancées et persistantes dans le but d'augmenter les gains financiers tirés d'une intrusion, d'un piratage ou de l'exploitation d'une faille, et déploient ainsi des ransomwares qui ne se basent plus uniquement sur le chiffrement de fichiers. Au-delà du chiffrement de fichiers, les cyberpirates mènent des opérations de reconnaissance afin de rechercher un large éventail d'informations métier sensibles au cœur même des réseaux des entreprises. Un rapport récent de Mandiant a révélé que les cyberpirates cherchent à obtenir des données sensibles jusque dans les contrats, les accords de licenciement, les dossiers médicaux et les certificats de chiffrement1. Avant de chiffrer des données, les cyberpirates exfiltrent des données par le biais de canaux de communication chiffrés pour échapper aux dispositifs de défense périmétriques dont la maintenance et la gestion sont généralement difficiles.

Ces violations de données donnent aux cyberpirates plus de force, de contrôle et d'influence, et exposent les entreprises à des risques considérables et à des dommages irréparables. Les entreprises pourraient par là même perdre la confiance de leurs clients, voir la réputation de leur marque entachée et subir une baisse du moral de leur personnel. Elles pourraient en outre être tenues responsables de dommages juridiques et punitifs, et être poursuivies dans le cadre d'actions collectives. Les attaques par ransomware entraînent également une augmentation des coûts de fonctionnement et de conformité réglementaire, et affectent lourdement la compétitivité et l'agilité des entreprises, lesquelles dépendent de l'adoption de nouvelles technologies innovantes.

Les cyberpirates exploitent les données volées de manière malveillante et utilisent des sites de divulgation de données sur le Dark Web pour moquer leurs victimes sur des réseaux TOR ou sur les réseaux sociaux (Facebook, par exemple). Pour étayer leurs demandes, les opérateurs de ransomware divulguent des échantillons des données volées sur l'entreprise ou ses clients auprès de médias réputés ou de publications spécialisées dans les technologies et la cybersécurité, et ce, dans le but de susciter l'attention du plus grand nombre et renforcer leur pouvoir de négociation.  

La probabilité d'empêcher la diffusion de données piratées est quasiment nulle et les dommages provoqués sont presque toujours irréversibles. CrowdStrike communique sur l'évolution des tactiques impliquant l'hébergement par des cyberpirates de données volées par d'autres cyberpirates, lesquelles tactiques rendent très difficile toute tentative d'accord que les victimes pourraient souhaiter conclure pour récupérer ou empêcher la diffusion de données volées2.

Dans certains cas, les cyberpirates constituent des ensembles indexés d'informations d'identification personnelle extraites de ressources piratées et aggravent la situation en diffusant des données à intervalles réguliers dans le seul but de susciter à nouveau l'attention des médias2. Ils peuvent également s'en prendre aux employés des entreprises ciblées en les harcelant au téléphone ou encore forcer les entreprises à rendre publique une compromission en avertissant ses partenaires commerciaux. Ces manœuvres coercitives portent préjudice au moral des employés et créent un climat de défiance dans les relations commerciales.

Est-il ou non possible de prévenir les dommages causés par les ransomwares ?

Les auteurs de ransomware innovent et évoluent en permanence. Ils rassemblent un grand nombre d'informations sensibles différentes et parcourent librement le réseau des entreprises visées afin d'exfiltrer des données dès l'intrusion initiale. Ils mènent également des opérations de reconnaissance de plusieurs jours à plusieurs mois sur l'ensemble de l'environnement des entreprises et tirent parti de techniques de chiffrement pour échapper à la détection. D'après le rapport M-TRENDS 2021 de Mandiant, 81 % des nouvelles familles connues de malwares n'utilisent pas les outils et le code accessibles publiquement1. Il apparaît ainsi que les mesures préventives basées sur les signatures sont tout sauf appropriées et efficaces pour protéger les entreprises contre les attaques par ransomware d'aujourd'hui. Une fois qu'une attaque a déjoué les outils de prévention, comment peut-on l'arrêter ?

Dans près de la moitié des intrusions analysées par Mandiant en 2020, les cyberpirates ont tiré parti de mécanismes de dissimulation, comme le chiffrement et le codage, pour rendre les attaques plus difficiles à repérer1. Les outils de sécurité traditionnels ne bénéficient que d'une visibilité limitée et s'appuient sur une liste prédéfinie de services, d'applications et d'utilisateurs approuvés, sans pour autant contrôler en permanence si leur comportement est normal. Il est essentiel de garder à l'esprit que les cyberpirates lancent des attaques en plusieurs étapes et ne s'arrêtent pas à la simple compromission initiale. Ils ont ainsi recours à des procédés comme la persistance, l'élévation des privilèges, la découverte et la reconnaissance interne, le déplacement latéral, l'accès aux identifiants, les comportements Command & Control, le contournement des défenses ou encore l'exfiltration. À l'issue de leurs investigations sur les menaces réalisées en 2020, les experts de Mandiant ont découvert que les cyberpirates utilisent 63 % des techniques du cadre MITRE ATT&CK.

Les outils de prévention traditionnels n'offrent qu'une couverture limitée en termes de sécurité, que ce soit lors de l'accès initial ou de la phase d'exfiltration d'une attaque. Les gérer et les exploiter efficacement nécessite en outre des efforts manuels permanents. Ces outils s'appuient sur des agents et sont connus pour donner lieu à des perturbations de l'activité des entreprises, ce qui limite d'autant plus l'efficacité de leur sécurité.  

Les entreprises doivent prendre conscience de la complexité de la surface d'attaque numérique, de l'ingéniosité des opérateurs de ransomware, des limites des outils de sécurité traditionnels et de la pénurie chronique de professionnels de la cybersécurité.

La plate-forme VECTRA Cognito met un coup d'arrêt aux attaques par ransomware

La solution de cybersécurité hautes performances et optimisée par l'IA de VECTRA est utilisée par les entreprises afin de détecter et stopper les ransomwares avant même qu'ils ne provoquent des dommages irréversibles pour les entreprises et leurs clients.

VECTRA vous permet de bloquer les ransomwares avant qu'ils ne puissent chiffrer vos fichiers et exfiltrer vos données. Sans agent et optimisée par l'IA, la plate-forme Cognito met en corrélation de manière continue et automatique les détections à basse fiabilité réalisées au fil du temps et sur l'ensemble du réseau, des comptes et des hôtes, et donne ainsi à vos équipes SOC tous les outils nécessaires pour arrêter efficacement les attaques par ransomware les plus sophistiquées.

Dans la vidéo ci-dessous, je vous présenterai comment la plate-forme VECTRA Cognito contrôle en permanence toutes les étapes d'une attaque par ransomware et y met un terme avant même que des fichiers ne soient chiffrés ou que des données ne soient exfiltrées. La plate-forme Cognito identifie automatiquement les comptes et les systèmes à risque sur le réseau de l'entreprise et sur le cloud, et suit les comportements types des cyberpirates, qu'il s'agisse de communications Command & Control via des tunnels HTTS chiffrés, d'appels RPC ou de requêtes LDAP visant à cartographier le réseau, d'opérations de reconnaissance des comptes à privilèges ou encore d'appels RPC pour se déplacer latéralement sur un réseau non hiérarchique.

La plate-forme VECTRA Cognito offre une visibilité complète sur le réseau numérique des entreprises, que ce soit des environnements sur site au cloud, des environnements hybrides aux environnements multiclouds, des bureaux aux collaborateurs en télétravail, des solutions IaaS aux solutions SaaS, et des équipements IoT aux appareils OT. La plate-forme recherche automatiquement et de façon continue les menaces, les ransomwares et les signes du comportement de cyberpirates aux différentes étapes d'un cycle d'attaque. VECTRA Cognito est une solution sans agent optimisée par une IA de pointe toujours active et disposant de capacités uniques pour détecter et bloquer les attaques par ransomware dont le volume et l'ingéniosité ont atteint un niveau inédit.

Pour découvrir en détail la solution de VECTRA et apprendre comment bloquer efficacement les ransomwares, cliquez ici.

Références :

(1) M-TRENDS 2021 https://www.fireeye.com/current-threats/annual-threat-report/mtrends.html

(2) Global Threat Report 2021 de CrowdStrike https://www.crowdstrike.fr/ressources/dossiers/global-threat-report/