Ransomware : état des lieux et perspectives

RansomwareSécurité
Sodinokibi Windows ransomware

Quand il s’agit de se défendre contre le ransomware, les outils de sécurité ne sont efficaces que si ceux qui les gèrent savent s’en servir.

Alors que nous nous sommes lourdement mobilisés ces dernières semaines pour nous adapter à la crise mondiale actuelle, la cybersécurité a pu être reléguée au second plan. Les cybercriminels, eux, s’en réjouissent.
Les réseaux ayant été profondément modifiés, ils se sont activement mis à cibler les télétravailleurs, ceux précisément qui étaient autrefois protégés par le périmètre du réseau.
Les tactiques utilisées ? Leur faire parvenir de fausses informations autour du COVID-19, mener des attaques sur les réseaux sociaux ou encore sonder les nouveaux environnements réseau à la recherche de vulnérabilités.

FortiGuard Labs a activement scruté l’univers des menaces pendant cette période, et a constaté une inflation significative ciblant les individus à l’aide de sites Web infectés et de campagnes de phishing. Les pièces jointes hébergeant un contenu malveillant, les experts ont constaté un bond de 131 % des virus au cours du mois de mars de cette année.

Ceci explique également le reflux constaté des attaques traditionnelles alors que les cybercriminels changent de cibles. Les incidents liés aux ransomware devraient donc progresser car les cybercriminels tentent d’utiliser des dispositifs piratés d’utilisateurs finaux pour s’immiscer au sein des réseaux.

Qu’en est-il du ransomware aujourd’hui ? La menace est-elle toujours aussi prégnante ?

Le ransomware, à l’évidence, est de ces attaques qui donnent des sueurs froides aux professionnels de la sécurité, d’autant que la menace ne montre aucun signe de ralentissement. Quand il s’agit de se défendre contre le ransomware, les outils de sécurité ne sont efficaces que si ceux qui les gèrent savent s’en servir. Les erreurs de configuration et la prolifération des outils de sécurité peuvent grever l’efficacité de la ligne de défense des entreprises et leur capacité à déjouer les cyberattaques. Enfin, et ceci est particulièrement vrai pour le ransomware, le problème le plus critique est celui du facteur humain.

D’autres points doivent aussi être pris en compte, comme l’absence de visibilité et de contrôle que connaissent la plupart des entreprises victimes d’attaques. Avec le nombre de nouvelles vulnérabilités zero-day existantes, nous ne sommes jamais à l’abri d’un exploit de grande envergure. Même avec les fonctions de sécurité les plus récentes en place, si une vulnérabilité zero-day est exploitée, les organisations devront compter sur les trois piliers d’un programme de cybersécurité robuste – les personnes, les processus et la technologie – pour identifier la menace dès ses prémices.

Les solutions anti-exploit et EDR (détection et prise en charge des menaces sur les Endpoints) sont d’excellents outils pour identifier des logiciels malveillants sur un Endpoint avant que celui-ci n’accède au réseau, ce qui permet ensuite de partager cette information. Un pare-feu de segmentation interne (ISFW) peut alors assurer une segmentation dynamique qui met l’hôte infecté en quarantaine.
Par ailleurs, la technologie SOAR (orchestration de sécurité, automatisation et réponse) peut procéder rapidement à la remédiation suite aux informations de veille recueillies. Cette stratégie qui fonctionne parfaitement pour contrer les ransomware, permet également de neutraliser les attaques les plus avancées.

Le ransomware n’est pas un malware aussi complexe et sophistiqué que l’on imagine. Et c’est précisément cela qui le rend dangereux : les cybercriminels n’ont pas besoin d’être des experts puisque des toolkits de ransomware peuvent être téléchargés à partir d’Internet et personnalisés avec des connaissances minimales en matière de programmation. Il est vrai que la majorité de ces ransomware ne fonctionneront probablement pas sur les grandes entreprises puisque sans doute neutralisés par les dispositifs de sécurité.

Mais compte tenu du contexte actuel, avec nombre de néo-télétravailleurs, des équipes IT surchargées et des politiques de sécurité nouvelles mais pas forcément testées, les entreprises se retrouvent soudainement en position d’être victimes d’attaques. S’il y a d’autres menaces sans doute plus communes que le ransomware, celui-ci reste une menace majeure compte tenu de son lourd impact sur les entreprises qui en sont victimes : en effet, une attaque par ransomware réussie peut aller jusqu’à mettre à l’arrêt l’activité d’une entreprise.

Les bonnes pratiques de cybersécurité et le facteur humain contre les ransomware

La triste vérité est que la plupart des attaques peuvent être évitées. Les entreprises peinent à assurer le patching de leurs dispositifs. On ne peut pas toujours les blâmer pour cela.
Ces correctifs doivent être testés, ce qui peut être chronophage au sein des environnements étendus et complexes. Souvent, les utilisateurs disposent de droits administratifs sur leur système pour se substituer aux équipes de support IT et d’administration, et ainsi alléger leurs tâches.
Mais ceci rend l’automatisation des patchs et des mises à jour plus difficile. Et au sein d’environnements mobiles étendus, il n’est guère simple d’inciter les utilisateurs disséminés géographiquement à déployer leurs patchs. Pourtant, si ces problèmes sont réglés, il est fort à parier que la majorité des ransomware ne seraient plus efficaces.

Le problème n’est pas qu’une question de prise de conscience, il est enraciné dans le comportement humain. Sensibiliser et agir sont deux choses très différentes. Aux côtés d’attaques à grande échelle et peu discriminantes, certains emails sont conçus de manière intelligente pour cibler des profils spécifiques d’individus au sein des entreprises, soit directement, soit par le biais d’une nouvelle technique qui consiste à insérer des emails de phishing dans un fil de messages pour augmenter la probabilité qu’il soit ouvert et cliqué.
Ce type d’attaque est connu sous le nom de spearphishing, et même de “whale phishing” si la cible est un dirigeant d’entreprise. Mais peu importe qui est ciblé, tout le monde est susceptible de recevoir un email soigneusement conçu qui débarque à un moment où il est juste suffisamment distrait pour ne pas repérer la menace.

Le facteur humain ne se limite pas à des personnes naïves qui cliquent sur des liens ou ouvrent des documents malveillants. Sont également inclus les managers et dirigeants qui ne comprennent pas la portée de ces menaces, ni comment les neutraliser.
Les technologies antimalware progressent si vite que la majorité d’entre nous ne peuvent en maîtriser tous les tenants et aboutissants. Et la pénurie de compétences en cybersécurité continue à se creuser ce qui rend le défi d’autant plus complexe.

Quelles sont les perspectives pour le ransomware en 2020 ?

Ce qui progresse, ce sont ces attaques par ransomware plus ciblées qui ont un impact opérationnel et réglementaire particulièrement lourd sur les entreprises. En général, les attaques par malware et ransomware ont totalement changé la donne parce qu’elles sont ciblées et spécifiquement conçues pour s’en prendre à certains systèmes internes.

Il y a aussi un autre facteur qui contribue aux attaques croissantes contre les entreprises, à savoir les offres de Ransomware-as-a-Service (RaaS). En 2020, nous assistons à un autre changement, avec un ransomware qui tire parti d’activités criminelles autour de la thématique du COVID-19, une thématique très opportune pour les cybercriminels, soulignant ainsi que l’évolution du ransomware ne donne pas uniquement lieu à des attaques ciblées.

Et il est d’autant plus compliqué de se défendre contre des attaques qui présentent autant de facettes différentes.

Nous assisterons à un nouvel exploit de masse par ransomware, à l’image de WannaCry, compte tenu de la recrudescence de vulnérabilités sous forme de vers (wormable), comme BlueKeep et le plus récent d’entre eux affectant SMBv3, surnommé SMBGhost. Ce n’est qu’une question de temps.

Nous assisterons aussi à une recrudescence significative des attaques par ransomware. Si la pandémie de COVID-19 a lourdement impacté de nombreux projets, elle alimente également l’urgence. Une urgence qui s’applique aux projets de migration vers le Cloud, aux accès à distance et à l’utilisation toujours plus importante des applications Web. Les professionnels de l’informatique connaissent davantage le stress et la pression qu’avant.
En outre, certains secteurs d’activité, comme les soins de santé, la production industrielle et le transport sont aussi sous pression pour maintenir leurs réseaux en activité. Les assaillants savent pertinemment que nombre d’acteurs évoluant dans ces secteurs préféreront payer une rançon plutôt que de subir un ralentissement ou un arrêt de leurs activités.

Si le dispositif d’un télétravailleur est compromis, il devient une passerelle vers le cœur de réseau de l’entreprise et participe à propager les malware vers d’autres travailleurs distants. L’impact qui en résulte sur les activités métier peut être tout aussi perturbant qu’une attaque par ransomware qui cible les systèmes internes du réseau jusqu’à les mettre à l’arrêt.

Puisque les helpdesks sont désormais distants, les dispositifs infectés par ransomware ou un virus peuvent empêcher le travail des collaborateurs pendant plusieurs jours, d’autant que ces dispositifs doivent parfois être acheminés par voie postale au helpdesk pour être restaurés.

Les cybercriminels comprennent que les périodes de changement rapide comme celle que nous vivons sont perturbantes pour les entreprises. Dans cette course à la continuité des activités, des éléments comme les protocoles de sécurité peuvent être négligés, et les criminels cherchent à profiter de toutes les failles fortuites de sécurité.

Auteur
En savoir plus 
Directeur Technique
Fortinet
Directeur Technique chez Fortinet depuis 2005, Christophe Auberger est en charge des aspects techniques avant ventes pour la France. Titulaire d’un master en Informatique et Telecom et après quelques années au service des contre-mesures au sein de la marine nationale (DPSD), il oriente sa carrière vers l’IT et prend la responsabilité du support chez Altis Informatique dans les années 90. Il gère ensuite l'avant-vente et le consulting de l'entité de gouvernance des systèmes d'information chez ARCHE Communications. En 2000, il est co-fondateur et directeur technique du premier ASP français dans le domaine de la sécurité : monDSI.com qui prendra des parts de marché significatives dans le domaine avant d'être intégré au groupe RISC.
En savoir plus 

Livres blancs A la Une