Le risque étant croissant, deux options de réduction s’offrent aux entreprises : la première consiste à réduire les chances de réussite d’une attaque et la seconde à contenir les dommages résultant d’une attaque réussie.
Selon le rapport DBIR de Verizon, les ransomwares représentent 24 % des attaques totales au niveau global. Les groupes cybercriminels se sont en outre adaptés aux nouvelles défenses des entreprises qui se sensibilisent en cybersécurité. En effet, ils recourent davantage à des techniques autrefois marginales, dont le Ransomware as a Service (RaaS), et ils industrialisent et globalisent modes d’action. Les entreprises doivent par conséquent s’adapter à ces évolutions.
Du ransomware au RaaS
Les entreprises font actuellement face à une recrudescence générale de tous les types de cyberattaques, en particulier des ransomwares. De nombreuses techniques perdurent chez les cybercriminels pour mener à bien une attaque par rançongiciel, car elles se montrent toujours efficace et les vulnérabilités habituelles constituent donc encore le principal axe de pénétration.
Les acteurs malveillants se déplacent ainsi toujours latéralement pour compromettre des niveaux de privilège de plus en plus élevés et mener une attaque persistante, avant de chiffrer des données sensibles (puis de menacer de les divulguer) et d’extorquer le paiement d’une rançon. Les attaques sont de plus en plus rapides, précises, sophistiquées et, selon Microsoft, quelques minutes suffisent aux ransomwares modernes pour se répandre.
Les cybercriminels pratiquent également la double et triple extorsion, à savoir le vol et chiffrement des données dans le premier cas, et vont jusqu’à viser les victimes collatérales, pour une couche supplémentaire de compromission dans la triple extorsion. Enfin, les experts des ransomwares se sont inspiré du business model du logiciel en tant que service (SaaS) pour créer un marché lucratif du Ransomware as a Service (RaaS).
Ils proposent ainsi à d’autres criminels – souvent moins aguerris techniquement – des outils sophistiqués afin d’exécuter des attaques par ransomware et perçoivent un pourcentage sur chaque paiement de rançon. Ce modèle a permis la prolifération de certaines des souches de ransomware les plus dévastatrices, notamment Lockbit 3.0.
L’exemple de LockBit 3.0
LockBit est l’une des souches de ransomware les plus destructrices et les plus prolifiques depuis son apparition en 2019. Il est souvent utilisé contre des cibles qui fournissent des services critiques – tels que des systèmes informatiques dans les établissements de soin de santé ou les hôpitaux – bloquant l’accès des utilisateurs à ces systèmes et à leurs données vitales jusqu’au paiement d’une rançon.
Grâce à LockBit, les hackers pénètrent dans une entreprise en utilisant des serveurs compromis, en envoyant des emails de phishing ou en obtenant des identifiants de protocole RDP ou VPN non sécurisés via des attaques par force brute. LockBit constitue l’une des souches RaaS les plus efficaces.
Dans une étude de l’ANSSI et de l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), il y aurait eu 1 653 victimes par LockBit au niveau mondial. En France, l’activité du groupe cybercriminel représenterait 11 % des attaques par rançongiciel suivies par l’Anssi depuis 2020 ; avec un pic de 27% d’attaques en 2022.
Ce recours massif s’explique par les profits conséquents obtenues grâce à ce ransomware : il aurait permis aux cybercriminels d’extorquer plus de 91 millions de dollars en rançons payées. Ses développeurs s’organisent comme une entreprise de logicielle sophistiquée, qui ne cesse d’améliorer ses capacités et de corriger ses bugs afin de le faire gagner en efficacité.
Les créateurs de LockBit ont même lancé un programme de récompense, avec des primes jusqu’à un million de dollars, destiné aux pirates désireux d’identifier et de soumettre des rapports de bugs.
Réduire le risque d’attaques par ransomware
Le risque étant croissant, deux options de réduction s’offrent aux entreprises : la première consiste à réduire les chances de réussite d’une attaque et la seconde à contenir les dommages résultant d’une attaque réussie. Les principales clés de réussite résident en plusieurs facteurs.
> La sensibilisation des employés. Il est impératif d’investir dans la formation et la communication afin de faire connaître de façon régulière et efficace les règles essentielles de sécurité.
> L’inventaire des données. Pour réduire le risque de perte d’accès aux données critiques, les entreprises doivent savoir exactement quels types de données elles stockent afin d’assurer un niveau de protection corrélé à leur valeur.
> La suppression de tout privilège permanent. Pour réduire la surface d’attaque, l’accès aux données sensibles ne doit être accordé que pour la durée nécessaire de chaque demande et seulement après vérification de sa légitimité.
> La surveillance des activités suspectes. Le chiffrement et l’exfiltration des données prennent un certain temps. Il est donc essentiel de détecter les comportements anormaux dès les premiers stades des cyberattaques afin d’en minimiser les dommages.
> La création d’un plan de remédiation d’urgence et la mise à l’épreuve. Pour réagir rapidement et de manière appropriée à une attaque en cours, les entreprises doivent avoir clairement défini et mis en pratique les actions à effectuer, en désignant clairement des responsables pour chaque action.
> La disposition de sauvegardes fiables et d’un système de récupération efficace. Pour minimiser les interruptions d’activité, les équipes informatiques doivent être en mesure de restaurer rapidement les données et les services les plus importants. Elles auront besoin de sauvegardes récentes, stockées hors de portée des logiciels malveillants, ainsi que d’informations détaillées sur les fichiers modifiés ou supprimés lors d’une attaque de ransomware, afin d’alléger les tâches de récupération.
Le risque de ransomware concerne les entreprises sans distinction d’activité, de taille et de secteur. La prévention des ransomwares est donc un élément essentiel de toute stratégie de réduction des risques. Or, si la transformation numérique et la modernisation de l’infrastructure IT restent des priorités majeures, ces objectifs sont souvent supplantés par la nécessité de maintenir la sécurité et la continuité de l’activité.
En effet, aucune entreprise ne veut avoir à choisir entre accepter de s’acquitter d’une rançon faramineuse ou subir les conséquences désastreuses d’un refus de paiement.
Par conséquent, elles doivent adopter une approche à plusieurs niveaux, permettant à la fois de prévenir des infections par ransomwares et de réagir aux scénarios les plus défavorables. Avec des cybermenaces croissantes, les entreprises à même de les contrer disposeront d’un avantage considérable.
