Le cabinet de conseil en cybersécurité Coveware, basé à Westport (Connecticut), vient de publier un rapport qui confirme le pire : les attaques par ransomware s'intensifient dans tous les secteurs d'activité américains et mondiaux, y compris dans celui de la santé mais aussi, des particuliers. En effet, le cabinet estime qu'au premier trimestre 2021, 11,6 % des attaques par ransomware toucheront le secteur des soins de santé, ce qui place ce dernier en deuxième position ex-aequo avec le secteur public, derrière les services professionnels (24,9 %), mais loin devant des secteurs comme les transports (4,9 %), l'immobilier (3,6 %), les services publics (3,1 %) et la vente au détail (2,7 %).
De plus, la rançon moyenne payée aux pirates informatiques au premier trimestre 2021 s'élevait à 220 298 dollars, soit une augmentation de 43 % par rapport au quatrième trimestre 2020. Le rapport intitulé : "Les vecteurs d'attaque des ransomwares changent alors que les nouvelles exploitations de vulnérabilités logicielles se multiplient", a été publié sur le site Web de Coveware le 26 avril 2021.
Le rapport commence ainsi : "Le rapport trimestriel Coveware sur les ransomwares décrit les tendances en matière de réponse aux incidents liés aux ransomwares au cours du premier trimestre 2021. L'extorsion par exfiltration de données continue d'être prévalente et nous avons atteint un point d'inflexion où la grande majorité des attaques par ransomware incluent désormais le vol de données d'entreprise. Le premier trimestre a vu une inversion des montants moyens et médians des rançons. Les moyennes du premier trimestre ont été tirées vers le haut par une série d'attaques d'exfiltration de données menées par un groupe spécifique d'acteurs de la menace qui a exploité de manière opportuniste une vulnérabilité unique."
En effet, le rapport note que "le paiement moyen d'une rançon a augmenté de 43 %, passant de 154 108 dollars au quatrième trimestre de 2020 à 220 298 dollars. Le paiement médian au premier trimestre a également augmenté à 78 398 dollars, contre 49 450 dollars, soit une augmentation de 58%. Les moyennes et les médianes ont été tirées vers le haut par un petit nombre de groupes d'acteurs de la menace, plus particulièrement CloP, qui a été extrêmement actif au cours du premier trimestre et a touché de grandes victimes avec des demandes de rançon très élevées. Alors que la tactique d'exfiltration des données a proliféré, le rapport risque/récompense de payer pour supprimer une fuite n'a pas changé. Nous avons noté cette tendance pour la première fois dans notre rapport du troisième trimestre ; les victimes d'extorsion par exfiltration de données ont très peu à gagner en payant un cybercriminel, et malgré l'augmentation des demandes et la prévalence accrue du vol de données, nous sommes encouragés par le fait qu'un nombre croissant de victimes ne paient pas. Sur des centaines de cas, nous n'avons pas encore rencontré d'exemple où le fait de payer un cybercriminel pour supprimer des données volées a aidé la victime à atténuer sa responsabilité ou à éviter des dommages à son entreprise ou à sa marque. Au contraire, payer crée un faux sentiment de sécurité, des conséquences involontaires et des responsabilités futures." La position de Coveware reste inchangée et nous conseillons aux victimes d'extorsion par exfiltration de données d'assumer ce qui suit :
Ø Les données ne seront pas détruites de manière crédible. Les victimes doivent supposer qu'elles seront échangées avec d'autres acteurs de la menace, vendues, égarées ou conservées pour une deuxième ou une future tentative d'extorsion.
Ø La garde des données exfiltrées était détenue par plusieurs parties et n'était pas sécurisée. Même si l'acteur de la menace supprime un volume de données après un paiement, d'autres parties qui y avaient accès peuvent en avoir fait des copies afin de pouvoir extorquer la victime à l'avenir.
Ø Les données peuvent être publiées délibérément ou par erreur avant même que la victime puisse répondre à une tentative d'extorsion.
Ø Les enregistrements complets de ce qui a été pris peuvent ne pas être livrés par l'acteur de la menace, même s'il promet explicitement de fournir ces artefacts après paiement."
En fait, le rapport note que "le pourcentage d'attaques par ransomware incluant une menace de divulgation des données volées est passé de 70 % au quatrième trimestre à 77 % au premier trimestre. La majorité des attaques par ransomware impliquant l'exfiltration de données ont deux objectifs principaux : 1) exfiltrer les données de l'entreprise à partir du serveur de fichiers le plus pratique ; 2) escalader les privilèges et déployer le ransomware sur autant de points d'extrémité que possible. La plupart des affiliés de RaaS [ransomware as a service] achètent un accès au réseau et utilisent les données volées uniquement comme moyen de pression supplémentaire contre la victime. Cela signifie que, malgré les menaces, les acteurs de la menace prennent rarement le temps de voler des données que d'autres criminels ou parties intéressées voudraient acheter. Les données volées sont juste la preuve que l'attaque a eu lieu et créent parfois des obligations légales pour la victime."
Comme l'explique un post du 28 janvier sur le site Web de Crowdstrike, basé à Sunnyvale, en Californie, "Ransomware as a Service (RaaS) est un modèle commercial utilisé par les développeurs de ransomware, dans lequel ils louent des variantes de ransomware de la même manière que les développeurs de logiciels légitimes louent des produits SaaS. RaaS donne à tout le monde, même aux personnes sans grandes connaissances techniques, la possibilité de lancer des attaques de ransomware simplement en s'inscrivant à un service. Les kits RaaS permettent aux acteurs malveillants qui n'ont pas les compétences ou le temps de développer leurs propres variantes de ransomware d'être opérationnels rapidement et à un prix abordable. Ils sont faciles à trouver sur le dark web, où ils sont commercialisés de la même manière que les marchandises sur le web légal. Un kit RaaS peut inclure une assistance 24 heures sur 24 et 7 jours sur 7, des offres groupées, des avis d'utilisateurs, des forums et d'autres fonctionnalités identiques à celles proposées par les fournisseurs SaaS légitimes. Le prix des kits RaaS varie de 40 dollars par mois à plusieurs milliers de dollars - des montants insignifiants, si l'on considère que la demande de rançon moyenne au troisième trimestre 2020 était de 234 000 dollars (et que la tendance est à la hausse). Un acteur de la menace n'a pas besoin que chaque attaque soit réussie pour s'enrichir."
Et, de manière très inquiétante, le rapport note que "au cours du 1er trimestre, la chaîne d'approvisionnement économique de la cyber extorsion a démontré comment une vulnérabilité dans des appareils VPN largement utilisés peut être identifiée, exploitée et monétisée par des affiliés de ransomware. Il est rare de voir des vulnérabilités logicielles directement exploitées par des affiliés de groupes RaaS, mais lorsque les spécialistes commercialisent largement les résultats de leurs compétences en matière d'élicitation, les coûts de réalisation d'une attaque diminuent et les barrières à l'entrée pour les nouveaux cybercriminels. L'évolution et la spécialisation continues de la chaîne d'approvisionnement des ransomwares constituent une tendance inquiétante", indique le rapport. "La diminution des coûts d'exploitation globaux fait baisser la barrière à l'entrée ET augmente la rentabilité des attaques. Tant que l'économie unitaire des attaques par ransomware ne sera pas moins rentable, nous devrons nous attendre à ce que le volume des attaques continue d'augmenter. La maturité et la progression de la chaîne d'approvisionnement dans l'économie de la cyber extorsion sont encore plus inquiétantes. L'infrastructure qui est créée pour faire fonctionner cette économie sera difficile à démanteler. Plus on permet à la chaîne d'approvisionnement de devenir mature, plus il sera difficile de la démanteler."
CINQ ÉTAPES POUR DES OPÉRATIONS EN LIGNE PLUS SÛRES
Même l'utilisation de cette liste de contrôle ne peut garantir l'arrêt de toutes les attaques ou la prévention de toutes les attaques. Mais en suivant ces étapes, il sera beaucoup plus difficile pour les pirates de réussir.
1) Activez l'authentification à deux facteurs (2FA). La plupart des grands services en ligne, d'Amazon à Apple, prennent aujourd'hui en charge l'authentification à deux facteurs.
Lorsqu'elle est configurée, le système demande un identifiant et un mot de passe comme d'habitude, mais envoie ensuite un code numérique unique à un autre appareil, par SMS, par e-mail ou par une application spécialisée.
Sans accès à cet autre appareil, la connexion est refusée. Il est donc beaucoup plus difficile de pirater le compte de quelqu'un, mais les utilisateurs doivent l'activer eux-mêmes.
2) Cryptez votre trafic internet. Un service de réseau privé virtuel (VPN) crypte les communications numériques, ce qui rend difficile leur interception par les pirates.
Chacun devrait s'abonner à un service VPN, dont certains sont gratuits, et l'utiliser chaque fois qu'il connecte un appareil à un réseau Wi-Fi public ou inconnu.
3) Renforcez la sécurité de vos mots de passe. C'est plus facile qu'il n'y paraît, et le danger est réel : les pirates volent souvent un identifiant et un mot de passe sur un site et tentent de les utiliser sur d'autres.
Pour faciliter la création - et la mémorisation - de mots de passe longs, forts et uniques, abonnez-vous à un gestionnaire de mots de passe réputé qui suggère des mots de passe forts et les stocke dans un fichier crypté sur votre propre ordinateur.
4) Surveillez les activités en coulisses de vos appareils. De nombreux programmes informatiques et applications mobiles continuent de fonctionner même lorsqu'ils ne sont pas activement utilisés.
La plupart des ordinateurs, téléphones et tablettes ont un moniteur d'activité intégré qui permet aux utilisateurs de voir l'utilisation de la mémoire de l'appareil et le trafic réseau en temps réel.
Vous pouvez voir quelles sont les applications qui envoient et reçoivent des données Internet, par exemple. Si vous voyez quelque chose qui ne devrait pas se produire, le moniteur d'activité vous permettra également de fermer complètement le programme incriminé.
5) N'ouvrez jamais les liens hypertextes ou les pièces jointes d'un courriel suspect. Même s'ils semblent provenir d'un ami ou d'un collègue, soyez extrêmement prudent - leur adresse électronique pourrait avoir été compromise par quelqu'un qui essaie de vous attaquer.
En cas de doute, appelez directement la personne ou l'entreprise pour vérifier d'abord - et faites-le en utilisant un numéro officiel, jamais le numéro de téléphone indiqué dans le courriel.
Article traduit sur HCI et Daily Mail
FLASH du 26-08-2022 - L’hôpital de Corbeil-Essonnes en a fait les frais suite à cette cyberattaque majeure, le système informatique est au tapis et le personnel soignant est revenu à l'ancienne selon Le Parisien.CYBERATTAQUE : L’hôpital sud-francilien à Corbeil-Essonnes est victime d'une importante attaque informatique depuis ce week-end. Le plan blanc a été déclenché. Les pirates ont réussi à bloquer tout le réseau informatique et réclament une rançon de 10 millions de dollars (RMC). pic.twitter.com/cRhd6mfRLP
— Infos Françaises (@InfosFrancaises) August 22, 2022
Aucun commentaire :
Enregistrer un commentaire