IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

80 % des organisations qui ont payé la rançon après une attaque par ransomware ont été frappées à nouveau
D'après une nouvelle étude de Cybereason

Le , par Nancy Rey

100PARTAGES

14  0 
Alors que la liste des cibles connues des ransomwares continue de s'allonger dans le cadre de la pandémie COVID-19, les victimes courent le risque de subir des cyberattaques répétées, selon un nouveau rapport publié il ya quelques jours par une société américaine de cybersécurité. Cybereason, basée à Boston, a constaté que 80 % des organisations ayant déjà payé des demandes de rançon ont confirmé avoir été exposées à une deuxième attaque, selon une enquête commandée auprès de 1 263 professionnels de la cybersécurité de différents secteurs d'activité aux États-Unis, au Royaume-Uni, en Espagne, en Allemagne, en France, aux Émirats arabes unis et à Singapour.

La nouvelle étude de Cybereason, basée à Boston, a examiné les effets à court et à long terme des ransomwares. L'une des conclusions les plus significatives de cette étude est que 80 % des organisations qui ont payé une demande de rançon ont subi une deuxième attaque. De plus, parmi celles qui ont subi une nouvelle attaque par ransomware, près de la moitié pensent qu'elle est le fait des mêmes attaquants, tandis que 34 % pensent que la deuxième attaque a été perpétrée par des acteurs différents.

En outre, le paiement ne garantit pas le retour à la normale des opérations. Parmi les personnes interrogées, 46 % ont retrouvé l'accès à leurs données, mais une partie ou la totalité de celles-ci étaient corrompues. Et 25 % des personnes interrogées ont déclaré qu'une attaque par ransomware avait entraîné la fermeture de leur entreprise.

Le rapport de Cybereason présente des données troublantes sur la menace croissante des attaques répétées. Bien que le chiffre de 80 % soit plus élevé que ce à quoi s'attendait le cofondateur et directeur technique de Cybereason, Yonatan Striem-Amit, il a déclaré que ce n'était pas si surprenant. Lorsque les entreprises paient une rançon, elles résolvent peut-être un problème immédiat, mais elles annoncent également leur volonté de payer des sommes potentiellement importantes pour résoudre une crise.

Selon Striem-Amit, les cybercriminels sont devenus bien plus habiles à identifier les cibles potentielles, les plus grands groupes de ransomware se spécialisant dans la chasse au gros gibier ; s'attaquant aux grandes multinationales avec des techniques d'intrusion ciblées. Le problème est devenu si grave que la Maison Blanche a récemment publié une directive sur les ransomwares à l'intention des entreprises. Lorsque les victimes paient, elles adressent un signe aux agresseurs : « Nous sommes ouverts aux affaires. Les criminels attaquent alors à nouveau ces victimes avant qu'elles n'aient eu l'occasion de renforcer leurs pratiques de sécurité », a-t-il déclaré.

Ce tableau fournit une comparaison côte à côte des solutions en place qui auraient pu protéger les organisations contre une attaque de ransomware et des investissements réalisés par les organisations après une attaque


Déchiffrer la cause des attaques répétées

Cybereason n'est pas le seul à observer la tendance des organisations à être attaquées plusieurs fois. Nick Pelletier, directeur de la réponse aux incidents chez Mandiant, a déclaré que sa société avait mené des enquêtes pour des entreprises victimes à plusieurs reprises du même acteur de menace ransomware. Cependant, les attaques suivantes se sont souvent produites dans des situations où les tentatives de l'acteur de la menace pour obtenir le paiement d'une rançon n'ont pas abouti. Dans ces cas, selon Pelletier, Mandiant a observé une escalade dans les tactiques de l'acteur menaçant, d'abord en augmentant la portée du chiffrement, puis en recourant à l'extorsion par le vol et l'exposition des données.

« Ainsi, le ciblage répété d'une même organisation contribue à l'accomplissement de la mission de l'acteur de la menace en augmentant son influence. En outre, il n'est pas sincère de présenter le ciblage répété comme une erreur ou un manque de préparation de la victime, car cela s'apparente davantage à une attaque soutenue sans le luxe de temps pour enquêter, remédier et augmenter la résilience, par opposition à des attaques multiples et distinctes », a écrit Pelletier dans un courriel.

De plus, la réponse aux incidents après une attaque peut être délicate. Eric Parizo, analyste principal, opérations de sécurité chez Omdia, a déclaré que la marge d'erreur pour les enquêtes et la récupération de la réponse aux incidents est mince. « Chaque incident étant unique, même si vous disposez d'un personnel formé, d'une bonne technologie et de processus solides pour soutenir votre effort de réponse aux incidents, les choses peuvent toujours mal tourner si vous ne découvrez pas l'événement assez rapidement, n'identifiez pas tous les endroits touchés et ne prenez pas les bonnes mesures pour l'atténuer », a déclaré Parizo.

Jon Oltsik, analyste principal chez Enterprise Strategy Group, une division de TechTarget, a déclaré que d'autres problèmes incluent des programmes informels et non testés et un manque de personnel qualifié en matière de réponse aux incidents. « En général, les clients écoutent les fournisseurs de réponse aux incidents, mais ils n'ont pas forcément les compétences, les ressources ou les flux de travail pour le faire en temps voulu »", a commenté Oltsik.

Investissements post-attaque

Cybereason a demandé aux personnes interrogées qui avaient subi une attaque de ransomware au cours des 24 derniers mois dans quelles technologies elles avaient investi pour protéger leurs réseaux contre de futurs événements. Les cinq principales approches citées étaient la sensibilisation à la formation à la sécurité (48 %), le centre d'opérations de sécurité (48 %), la protection des points de terminaison (44 %), la sauvegarde et la récupération des données (43 %) et l'analyse des courriels (41 %). « Malheureusement, il ne s'agit pas de choisir une [approche] et de ne faire que cela. Si vous construisez l'ensemble de votre programme de sécurité autour de la sensibilisation, cela ne fonctionnera pas. Mais l'association de toutes ces mesures est très efficace : le déploiement des bonnes solutions, la formation de l'équipe et les meilleures pratiques sont autant d'atouts. Les entreprises doivent avoir la volonté d'agir », a déclaré Striem-Amit.

Les solutions les moins déployées après une attaque comprennent l'analyse du Web (40 %), les technologies de détection et de réponse des points d'extrémité et de détection et de réponse étendues (38 %), les logiciels antivirus (38 %), les solutions de sécurité mobile et SMS (36 %) et les fournisseurs de services de sécurité gérés ou de détection et de réponse gérées (34 %). Seuls 3 % des répondants ont déclaré ne pas avoir réalisé de nouveaux investissements en matière de sécurité après une attaque par ransomware.

Alors que Striem-Amit a déclaré que la cyberassurance est un élément important de la posture de cybersécurité d'une entreprise, Cybereason constate de nombreux cas où l'assurance ne couvre pas la totalité des dommages. Selon l'enquête, 42 % des personnes interrogées ont déclaré que leur assureur ne couvrait qu'une partie de leurs pertes financières. Avec des attaques affectant la réputation de la marque, et provoquant des licenciements et d'autres perturbations de l'activité, les coûts peuvent s'accumuler. « L'assurance peut-elle vraiment couvrir le coût total d'une attaque par ransomware ? La réponse est non. Elle n'est probablement pas suffisante pour être le seul ou le principal moyen d'atténuer les risques dans votre entreprise », a déclaré Striem-Amit.

Si le volume global des attaques semble avoir diminué cette année, selon Cybereason, elles sont plus sophistiquées. Yonatan Striem-Amit a déclaré que les opérations de ransomware sont aujourd'hui presque impossibles à distinguer de la sophistication et des connaissances des pirates d'État. Les entreprises doivent donc être préparées. « Se concentrer sur l'hygiène, sur les bonnes technologies et passer de pratiques archaïques à des pratiques modernes coûte beaucoup moins cher que les dégâts considérables que vous subirez si vous êtes frappé par une attaque de ransomware. Les attaques par ransomware sont aujourd'hui modernes, sophistiquées et s'attaquent vraiment à tout le monde. Prenez-les au sérieux dès maintenant », a-t-il déclaré.

Source : Cybereason

Et vous ?

Que pensez-vous des résultats de cette enquête ? Sont-ils pertinents à votre avis ?

Voir aussi :

Victime d'un ransomware, une entreprise paie des millions aux cybercriminels pour restaurer ses fichiers. L'entreprise se fait attaquer à nouveau par le même ransomware et paie encore

Le PDG de Colonial Pipeline explique pourquoi il a payé une rançon de 4,4 millions de dollars à des pirates informatiques, « C'était la bonne chose à faire pour le pays »

Joe Biden publie un décret visant à renforcer les défenses américaines en matière de cybersécurité, après le piratage du Colonial Pipeline

Apple est la cible d'une attaque par ransomware de 50 millions de dollars de la part d'un groupe de pirates russes, qui affirme avoir piraté et volé des plans de nouveaux produits

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de electroremy
Membre expérimenté https://www.developpez.com
Le 24/06/2021 à 9:45
C'est sûr payer un ransomware c'est comme cocher une case "oui je suis un couillon vous pouvez recommencer"

C'est pas compliqué de faire des sauvegardes...
1  0 
Avatar de petitours
Membre chevronné https://www.developpez.com
Le 29/07/2021 à 22:00
Citation Envoyé par Arya Nawel Voir le message
Ce que je soupçonne : la première rançon a été payée par l'assurance, donc ça ne leur a pas fait de mal,
Vous supposez par là que ceux qui ont payé (par l’assurance ou pas osef) on pu récupérer leurs données.
Le malfaiteurs qui reçoit de l'argent pour ça n'a pas le moindre intéret à rende quoi que ce soit, il n'a comme seule priorité que de se cacher. Ceux qui se sortent d'un ransomware sont ceux qui sont certes gênés mais qui n'ont in fine pas perdu de données parce que bien sauvegardées.
Celui qui paye est non seulement une poire mais en plus il encourage cette bien triste pratique.
1  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 20/06/2021 à 12:59
Cela n'a pas d'importance que ce soit 1% car payer une rançon fait que toute l'entreprise criminelle continue sans relâche. S'il devenait illégal de payer une rançon alors les chefs d'entreprise seraient obligés de réparer les choses et de ne pas prendre de risques. Lorsque les adversaires réalisent qu'ils seront écrasés, ils n'osent pas attaquer. Les entreprises criminelles comptent sur le fait que le paiement fonctionne, alors je veux que le paiement ne fonctionne jamais afin que nous les éliminions. Dans le passé, nous ne pouvions pas emprunter les routes physiques à cause des voleurs de grand chemin, jusqu'à ce qu'une police forte soit mise en place pour réduire considérablement les risques. Les gouvernements devraient considérer comme un crime le fait de payer une rançon, puis mettre les décideurs en prison pour ne pas avoir respecté les normes élevées de cybersécurité.
1  1 
Avatar de Romane
Membre régulier https://www.developpez.com
Le 24/06/2021 à 9:42
Pourquoi laisser tomber de bons "clients" ?

Ils ont payé une fois, les chances qu'ils payent une seconde fois est importante.
Le pirate connait le "client", il connait les failles, la topologie, les applications à cibler.
En prime les "clients" ont la pression d'avoir payé, donc contrevenu aux demandes (bientot lois j'espère) sur le sujet.
Ce sont des cibles faciles. Depuis quand les pirates n'aiment pas la facilité ?

On est tous d'accord que payer c'est encourager à recommencer
La cyberassurance ne devrait fonctionner que pour les dégâts occasionnés aux autres, assurance aux tiers
Ca fera baisser son coût. Peut-être que cela permettra de libérer des sommes pour la seule vraie protection : formation, outils, personnel.
0  0 
Avatar de ALT
Membre émérite https://www.developpez.com
Le 24/06/2021 à 14:09
Arya Nawel : Justement, les routes sont plus sûres parce qu'on a des forces de l'ordre plus efficaces, comme tu l'as justement écrit, mais pas parce qu'on a mis en taule les victimes !
Ce serait quand même le monde à l'envers !
Quand un patron décide de payer, ce n'est jamais pour le plaisir, mais parce qu'il considère que ne pas le faire mettrait en péril son entreprise, donc ses clients, ses employés, ses fournisseurs...
De même que des familles de victimes d'enlèvements préfèrent payer une rançon, malgré l'avis contraire des enquêteurs, pour éviter de faire prendre des risques à l'otage.
Et tu voudrais qu'on les condamne ?
Je ne comprends pas du tout ton raisonnement, là. Si tu pouvais m'expliquer...
0  0 
Avatar de petitours
Membre chevronné https://www.developpez.com
Le 24/06/2021 à 14:14
Citation Envoyé par electroremy Voir le message
C'est sûr payer un ransomware c'est comme cocher une case "oui je suis un couillon vous pouvez recommencer"
En effet, et combien de % de ces organisation ont récupéré quelquechose ? 0,0% ?

Citation Envoyé par electroremy Voir le message
C'est pas compliqué de faire des sauvegardes...
Ça par contre c'est faux, c'est même super compliqué et c'est bien pour ça qu'il y a tant d'organisations qui n'en ont pas ou des insatisfaisantes, ou des incomplètes, ou des invalides, ou des accessibles par le réseau (et les ransomwares)...
0  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 29/07/2021 à 20:40
Ce que je soupçonne : la première rançon a été payée par l'assurance, donc ça ne leur a pas fait de mal, donc ils n'ont pas pris la peine de se protéger pour la deuxième.

Maintenant, attendez de voir ce qui arrivera à votre taux d'assurance après avoir payé la troisième rançon.

Ils vont certainement commencer à comprendre la nécessité des sauvegardes.
0  0