Les recherches de Vectra révèlent que l'arme la plus efficace pour commettre une attaque de rançongiciel est le réseau lui-même, ce dernier contribuerait à l'activation du chiffrement des fichiers partagés sur des serveurs du réseau.
Composée de chercheurs sur les menaces, de scientifiques de données, d'ingénieurs en sécurité réseau et des concepteurs d'interface utilisateur, Vectra est l’un des leaders sur le marché des applications d’intelligence artificielle permettant de détecter en temps réel les cyberattaques dans les infrastructures de cloud, de centres de traitement des données et d’infrastructures informatiques.
Selon son dernier rapport, les spécialistes de la détection des menaces constatent qu'en chiffrant les fichiers auxquels accèdent de nombreuses applications métier sur le réseau, les pirates obtiennent une économie d'échelle plus rapide et bien plus dommageable que le chiffrement de fichiers sur des périphériques individuels.
« Les retombées des attaques de rançongiciel contre les fournisseurs de services cloud sont bien plus dévastatrices lorsque les systèmes d’entreprise de tous les clients hébergés dans le cloud sont chiffrés », déclare Chris Morales, responsable de l’analyse de la sécurité chez Vectra. « Les attaques de rançongiciel ciblées d'aujourd'hui constituent une menace criminelle efficace et préméditée avec fermeture rapide et sans intermédiaire ».
Dans un précédent rapport sur le comportement des acteurs de la menace, Vectra révèle que sur une population de plus de 350 acteurs disposant de plus de quatre millions d'appareils et de charges de travail par mois, dans tous les secteurs, il y avait en moyenne 282 détections de comportement d’attaquant pour 10 000 appareils.
Qui a été victime d'attaques de rançongiciel avec chiffrement de fichiers réseau ?
Dans un précédent rapport sur le comportement des acteurs de la menace, Vectra révèle que sur une population de plus de 350 acteurs disposant de plus de quatre millions d'appareils et de charges de travail par mois, on retrouve :
- qu'il y avait en moyenne 282 détections de comportement d’attaquant pour 10 000 appareils dans tous les secteurs ;
- globalement, le secteur de la technologie affichait le plus grand nombre de comportements d’agresseurs, avec 465 détections sur 10 000 appareils. Cela est principalement dû aux comportements de reconnaissance élevés, avec 270 détections de reconnaissance par 10 000 appareils, soit 317 % de plus que la moyenne du secteur ;
- le secteur de l'éducation a enregistré un taux de comportements d'attaquant supérieur à la moyenne, avec 384 détections sur 10 000 appareils ;
- des taux disproportionnés de comportements de commandement et de contrôle (241 % supérieurs à la moyenne du secteur), de botnet (902 % supérieurs à la moyenne du secteur) et d'exfiltration (203 % supérieurs à la moyenne du secteur) expliquent cette tendance.
Les organisations gouvernementales européennes ont six fois plus de comportements de relais suspects que leurs homologues nord-américaines. Dans les organisations gouvernementales européennes, 12 relais suspects sont détectés pour 10 000 appareils. Dans les organisations gouvernementales nord-américaines, seuls deux sont détectés sur 10 000 appareils. Le rapport examine également la prévalence des attaques de chiffrement de fichiers sur le réseau par secteur et par région. La finance et les assurances constituent le secteur industriel le plus attaqué, tandis que la Californie est la région la plus attaquée des États-Unis. En Europe, la plupart des attaques de ce type sont observées en Allemagne, suivies de la Suisse.
D'après Bitdefender Labs, il existe plus de 400 000 variantes de rançongiciels créées au quotidien, et 99 % d'entre elles ne sont visibles qu'après avoir été modifiées. Les AV traditionnels se basant sur les signatures n'arrivent pas à tenir la cadence, car le temps que la signature soit créée, le logiciel malveillant a déjà changé. Les responsables de la sécurité de tous les secteurs devraient s’inquiéter, mais ceux du domaine de la santé et des finances devraient être les plus anxieux, car ces secteurs sont les plus ciblés par les créateurs de rançongiciels.
Les dommages créés par une attaque incluent entre autres : la réduction de productivité et d’efficacité ; l’augmentation des temps d’arrêt du système ; la perte de données propriétaires ; la perte de renseignements personnels ; la perte des données de restauration après une infection ou une violation ; les dégâts faits à la réputation de l’entreprise (pouvant entraîner des opportunités manquées) et les amendes pour non-conformité.
Les cybercriminelles ciblent les organisations les plus susceptibles de payer des rançons plus importantes pour retrouver l'accès aux fichiers chiffrés. Cela peut être particulièrement catastrophique pour les fournisseurs de services cloud. Le rapport sur les rançongiciels révèle également :
- les attaquants évitent facilement la sécurité du périmètre du réseau et effectuent des reconnaissances internes pour localiser et chiffrer les fichiers réseau partagés ;
- le chiffrement de fichiers largement disponibles sur le réseau est plus rapide et plus efficace que le chiffrement des fichiers sur chaque périphérique hôte ;
- les cybercriminelles ciblent les organisations les plus susceptibles de payer des rançons plus importantes pour retrouver l'accès aux fichiers chiffrés ;
- reconnaître les comportements de rançongiciel au début de l'attaque peut empêcher la propagation et le chiffrement malveillant des fichiers.
Source : Vectra
Et vous ?
Quels peuvent être les solutions à ces menaces de rançongiciels ?
Voir aussi :
Les entreprises qui promettaient des solutions contre les rançongiciels payaient presque toujours les pirates informatiques, selon ProPublica
Une ville de Floride accepte de payer 600 000 $ à des pirates informatiques, après qu'ils aient paralysé les systèmes informatiques de toute la ville
PyLocky Decryptor : un outil de récupération de fichiers chiffrés par le rançongiciel du même nom, publié par les autorités françaises