La nouvelle étude de Cybereason, basée à Boston, a examiné les effets à court et à long terme des ransomwares. L'une des conclusions les plus significatives de cette étude est que 80 % des organisations qui ont payé une demande de rançon ont subi une deuxième attaque. De plus, parmi celles qui ont subi une nouvelle attaque par ransomware, près de la moitié pensent qu'elle est le fait des mêmes attaquants, tandis que 34 % pensent que la deuxième attaque a été perpétrée par des acteurs différents.
En outre, le paiement ne garantit pas le retour à la normale des opérations. Parmi les personnes interrogées, 46 % ont retrouvé l'accès à leurs données, mais une partie ou la totalité de celles-ci étaient corrompues. Et 25 % des personnes interrogées ont déclaré qu'une attaque par ransomware avait entraîné la fermeture de leur entreprise.
Le rapport de Cybereason présente des données troublantes sur la menace croissante des attaques répétées. Bien que le chiffre de 80 % soit plus élevé que ce à quoi s'attendait le cofondateur et directeur technique de Cybereason, Yonatan Striem-Amit, il a déclaré que ce n'était pas si surprenant. Lorsque les entreprises paient une rançon, elles résolvent peut-être un problème immédiat, mais elles annoncent également leur volonté de payer des sommes potentiellement importantes pour résoudre une crise.
Selon Striem-Amit, les cybercriminels sont devenus bien plus habiles à identifier les cibles potentielles, les plus grands groupes de ransomware se spécialisant dans la chasse au gros gibier ; s'attaquant aux grandes multinationales avec des techniques d'intrusion ciblées. Le problème est devenu si grave que la Maison Blanche a récemment publié une directive sur les ransomwares à l'intention des entreprises. Lorsque les victimes paient, elles adressent un signe aux agresseurs : « Nous sommes ouverts aux affaires. Les criminels attaquent alors à nouveau ces victimes avant qu'elles n'aient eu l'occasion de renforcer leurs pratiques de sécurité », a-t-il déclaré.
Ce tableau fournit une comparaison côte à côte des solutions en place qui auraient pu protéger les organisations contre une attaque de ransomware et des investissements réalisés par les organisations après une attaque
Déchiffrer la cause des attaques répétées
Cybereason n'est pas le seul à observer la tendance des organisations à être attaquées plusieurs fois. Nick Pelletier, directeur de la réponse aux incidents chez Mandiant, a déclaré que sa société avait mené des enquêtes pour des entreprises victimes à plusieurs reprises du même acteur de menace ransomware. Cependant, les attaques suivantes se sont souvent produites dans des situations où les tentatives de l'acteur de la menace pour obtenir le paiement d'une rançon n'ont pas abouti. Dans ces cas, selon Pelletier, Mandiant a observé une escalade dans les tactiques de l'acteur menaçant, d'abord en augmentant la portée du chiffrement, puis en recourant à l'extorsion par le vol et l'exposition des données.
« Ainsi, le ciblage répété d'une même organisation contribue à l'accomplissement de la mission de l'acteur de la menace en augmentant son influence. En outre, il n'est pas sincère de présenter le ciblage répété comme une erreur ou un manque de préparation de la victime, car cela s'apparente davantage à une attaque soutenue sans le luxe de temps pour enquêter, remédier et augmenter la résilience, par opposition à des attaques multiples et distinctes », a écrit Pelletier dans un courriel.
De plus, la réponse aux incidents après une attaque peut être délicate. Eric Parizo, analyste principal, opérations de sécurité chez Omdia, a déclaré que la marge d'erreur pour les enquêtes et la récupération de la réponse aux incidents est mince. « Chaque incident étant unique, même si vous disposez d'un personnel formé, d'une bonne technologie et de processus solides pour soutenir votre effort de réponse aux incidents, les choses peuvent toujours mal tourner si vous ne découvrez pas l'événement assez rapidement, n'identifiez pas tous les endroits touchés et ne prenez pas les bonnes mesures pour l'atténuer », a déclaré Parizo.
Jon Oltsik, analyste principal chez Enterprise Strategy Group, une division de TechTarget, a déclaré que d'autres problèmes incluent des programmes informels et non testés et un manque de personnel qualifié en matière de réponse aux incidents. « En général, les clients écoutent les fournisseurs de réponse aux incidents, mais ils n'ont pas forcément les compétences, les ressources ou les flux de travail pour le faire en temps voulu »", a commenté Oltsik.
Investissements post-attaque
Cybereason a demandé aux personnes interrogées qui avaient subi une attaque de ransomware au cours des 24 derniers mois dans quelles technologies elles avaient investi pour protéger leurs réseaux contre de futurs événements. Les cinq principales approches citées étaient la sensibilisation à la formation à la sécurité (48 %), le centre d'opérations de sécurité (48 %), la protection des points de terminaison (44 %), la sauvegarde et la récupération des données (43 %) et l'analyse des courriels (41 %). « Malheureusement, il ne s'agit pas de choisir une [approche] et de ne faire que cela. Si vous construisez l'ensemble de votre programme de sécurité autour de la sensibilisation, cela ne fonctionnera pas. Mais l'association de toutes ces mesures est très efficace : le déploiement des bonnes solutions, la formation de l'équipe et les meilleures pratiques sont autant d'atouts. Les entreprises doivent avoir la volonté d'agir », a déclaré Striem-Amit.
Les solutions les moins déployées après une attaque comprennent l'analyse du Web (40 %), les technologies de détection et de réponse des points d'extrémité et de détection et de réponse étendues (38 %), les logiciels antivirus (38 %), les solutions de sécurité mobile et SMS (36 %) et les fournisseurs de services de sécurité gérés ou de détection et de réponse gérées (34 %). Seuls 3 % des répondants ont déclaré ne pas avoir réalisé de nouveaux investissements en matière de sécurité après une attaque par ransomware.
Alors que Striem-Amit a déclaré que la cyberassurance est un élément important de la posture de cybersécurité d'une entreprise, Cybereason constate de nombreux cas où l'assurance ne couvre pas la totalité des dommages. Selon l'enquête, 42 % des personnes interrogées ont déclaré que leur assureur ne couvrait qu'une partie de leurs pertes financières. Avec des attaques affectant la réputation de la marque, et provoquant des licenciements et d'autres perturbations de l'activité, les coûts peuvent s'accumuler. « L'assurance peut-elle vraiment couvrir le coût total d'une attaque par ransomware ? La réponse est non. Elle n'est probablement pas suffisante pour être le seul ou le principal moyen d'atténuer les risques dans votre entreprise », a déclaré Striem-Amit.
Si le volume global des attaques semble avoir diminué cette année, selon Cybereason, elles sont plus sophistiquées. Yonatan Striem-Amit a déclaré que les opérations de ransomware sont aujourd'hui presque impossibles à distinguer de la sophistication et des connaissances des pirates d'État. Les entreprises doivent donc être préparées. « Se concentrer sur l'hygiène, sur les bonnes technologies et passer de pratiques archaïques à des pratiques modernes coûte beaucoup moins cher que les dégâts considérables que vous subirez si vous êtes frappé par une attaque de ransomware. Les attaques par ransomware sont aujourd'hui modernes, sophistiquées et s'attaquent vraiment à tout le monde. Prenez-les au sérieux dès maintenant », a-t-il déclaré.
Source : Cybereason
Et vous ?
Que pensez-vous des résultats de cette enquête ? Sont-ils pertinents à votre avis ?
Voir aussi :
Victime d'un ransomware, une entreprise paie des millions aux cybercriminels pour restaurer ses fichiers. L'entreprise se fait attaquer à nouveau par le même ransomware et paie encore
Le PDG de Colonial Pipeline explique pourquoi il a payé une rançon de 4,4 millions de dollars à des pirates informatiques, « C'était la bonne chose à faire pour le pays »
Joe Biden publie un décret visant à renforcer les défenses américaines en matière de cybersécurité, après le piratage du Colonial Pipeline
Apple est la cible d'une attaque par ransomware de 50 millions de dollars de la part d'un groupe de pirates russes, qui affirme avoir piraté et volé des plans de nouveaux produits