Les ransomwares, le piratage de la messagerie en entreprise (BEC, Business Email Compromise) et les fuites de données ont plus de points communs qu'il n'y paraît.
Les ransomwares ont dépassé le stade de l'épidémie pour devenir endémiques. Jamais ils n'ont eu autant d'impact sur notre quotidien et aucune entreprise n'est à l'abri. D'après le rapport State of the Phish 2022 de Proofpoint, 68 % des entreprises à l'échelle mondiale ont subi au moins une infection par un ransomware découlant directement de la transmission d'une charge virale par email, de la distribution d'un malware lors d'une infection secondaire ou d'une compromission d'un autre type. Dès lors que vous utilisez Internet, vous pouvez être la cible d'un ransomware.
Tout comme le vivier de victimes potentielles de ransomwares s'est élargi, les modes opératoires des cybercriminels ont évolué. Les techniques de double, voire de triple, extorsion sont aujourd'hui très répandues. L'exfiltration d'importantes quantités de données sensibles et le maintien d'un accès persistant permettent aux cybercriminels d'augmenter le montant et la diversité de leurs demandes de rançon.
De nombreux gangs de ransomware, qui se méfient de l'attribution et des inculpations pénales qui en découlent, ont complètement abandonné les malwares verrouilleurs. Désormais, ils subtilisent d'énormes volumes de données et proposent des prix pour leur vente et leur destruction (cette dernière option inquiète particulièrement les victimes).
Si les modes opératoires des cybercriminels évoluent, leur objectif reste le même : accéder à votre environnement sans autorisation. Les cybercriminels abandonnent certes les malwares verrouilleurs au profit du vol de données, mais cela reste de l'extorsion. De même, les auteurs d'attaques BEC ont beau délaisser le détournement de salaires et les fraudes fiscales pour privilégier les fraudes aux transactions B2B, cela reste des attaques BEC. Par ailleurs, un auteur d'attaque BEC en quête d'une facture impayée et un gang de ransomware (ou peut-être devrait-on employer le terme « cyberextorsion ») cherchant à subtiliser des données recourront aux mêmes techniques, indépendamment de leur stratégie de monétisation.
Ces outils et techniques sont les mêmes depuis des années : compromission d'identifiants de connexion, usurpation d'identité, malwares activés par les utilisateurs, vol de données, etc. Quelle que soit l'évolution future du paysage des menaces, il est évident qu'il n'est pas idéal de considérer les ransomwares, l'extorsion de données, les attaques BEC et les fuites de données comme des catégories de risques distinctes. Autrement dit, en rendant ces outils et techniques plus difficiles à utiliser par les pirates, les équipes de défense ont l'avantage de compliquer la tâche de plusieurs types de cybercriminels.
Un éternel recommencement
Ransomwares visant le vol de données
Presque toutes les attaques de ransomwares impliquent le vol de données, ce qui en fait la forme d'extorsion la plus courante. En effet, de nombreux gangs de ransomware se focalisent désormais sur le vol de données. Ils ne chiffrent pas les informations et n'essaient pas non plus de les détruire.
Cette méthode d'attaque est particulièrement problématique. Étant donné que les données sont déjà sorties de votre périmètre de défense, vous n'avez aucune garantie de les récupérer. Et même si c'est le cas, elles peuvent avoir été vendues, divulguées ou utilisées d'une quelconque autre manière pour nuire à votre entreprise. Ce constat n'aide pas à prendre la bonne décision quant au paiement de la rançon.
De plus en plus d'entreprises choisissent de ne pas la payer, une décision qui s'accompagne de graves inconvénients. Par ailleurs, étant donné que de moins en moins d'entreprises paient la rançon, les cybercriminels vont chercher à monétiser leurs attaques par d'autres moyens. Les cyberassureurs refusent de plus en plus d'indemniser leurs clients en cas d'attaque de ransomwares.
C'est pourquoi la plupart des cybercriminels adoptent la même approche : ils volent d'importants volumes de données et les vendent sur le Dark Web, tout en demandant une rançon pour ne pas rendre ces données encore plus publiques.
À court terme, la meilleure défense consiste à détecter une attaque potentielle dès qu'elle survient et à empêcher l'exfiltration de données.
Des groupes cybercriminels renommés ont recours à des tactiques de double ou de triple extorsion :
- Les outils BlackCat/ALPHV ont développé la capacité de corrompre ou de détruire les fichiers exfiltrés. Ainsi, les cybercriminels ont en leur possession la seule copie fonctionnelle des données.
- Black Basta utilise la double extorsion pour chiffrer des données confidentielles et menacer de les divulguer si la victime ne paie pas la rançon.
- LockBit emploie des techniques de triple extorsion pour exercer une pression supplémentaire sur les victimes et les inciter à payer la rançon.
- BlackByte a recours à des techniques d'extorsion sur le Dark Web pour permettre à la victime de payer pour que ses données soient enlevées ou à d'autres cybercriminels de les acheter.
- Yanluowang (associé au groupe LAPSUS$) a compromis le compte de réseau privé virtuel (VPN) d'un collaborateur et a prétendu avoir volé près de 55 Go de données.
Ransomwares et attaques BEC
Les auteurs d'attaques BEC et les opérateurs de ransomware sont généralement considérés comme deux groupes distincts. Toutefois, une telle approche risque de compliquer un paysage des menaces déjà bien complexe.
Il est vrai que certains groupes possèdent des spécialisations, des compétences et une infrastructure qui se prêtent à ces deux types d'attaques. Mais la plupart du temps, les tactiques et techniques de base utilisées sont les mêmes.
Ainsi, si les opérateurs de ransomware et les auteurs d'attaques BEC peuvent présenter des caractéristiques légèrement différentes, d'un point de vue défensif, ils ont beaucoup de points communs.
Dans la plupart des cas, ces types de cybercriminels obtiendront ou achèteront un accès initial à un environnement par le biais de l'une des méthodes suivantes :
- Phishing par email
- Protocole RDP (Remote Desktop Protocol) permettant de prendre le contrôle d'un ordinateur à distance
- Malwares voleurs d'informations à même de collecter des jetons d'authentification, des cookies et des identifiants de connexion
En outre, les auteurs d'attaques BEC et les opérateurs de ransomware ont souvent recours au piratage de fils de discussion pour s'immiscer dans des conversations légitimes.
Quelles que soient les tactiques employées, le fait qu'elles présentent tant de similitudes offre aux entreprises un avantage considérable pour l'élaboration d'une stratégie de défense.
Au bout du compte, vous essayez de bloquer les mêmes activités, indépendamment de la manière dont un cybercriminel monétise une attaque.
Une fois ce constat fait, la protection contre les menaces et la sécurité des informations ne constituent plus deux défis distincts avec des contrôles uniques. En repensant nos défenses, nous pouvons détecter et neutraliser les principales cybermenaces actuelles (attaques BEC, ransomwares et vol de données) de manière bien plus efficace.
Ériger des défenses contre tous les types d'attaques
Les solutions de protection contre les menaces et de prévention des fuites de données d'ancienne génération ne peuvent pas résoudre les scénarios de menaces actuels, dans lesquels des cybercriminels compromettent des comptes pour subtiliser des données. Les outils qui recherchent des indicateurs de compromission à l'aide de règles de classification des données ne sont plus adaptés s'ils sont utilisés seuls.
Les équipes de défense doivent rechercher des signaux de détection qui caractérisent le comportement actuel des cybercriminels. Par exemple, l'identification de plusieurs connexions avec le même cookie de session peut indiquer qu'un cybercriminel exploite des identifiants de connexion compromis. Si l'endpoint de ce même utilisateur voit ensuite l'installation d'un outil d'archivage inhabituel (comme 7zip ou WinRAR), la création d'une énorme archive en plusieurs parties ou le transfert d'une grande quantité de données vers des sites de partage de fichiers cloud souvent utilisés par les cybercriminels (tels que Mega), vous devriez sans doute lancer votre processus de réponse aux incidents.
Les opérateurs de ransomware sont opportunistes. Quelles que soient leurs motivations, ils privilégieront toujours des entreprises dont les contrôles de sécurité sont faibles et utiliseront des techniques maintes fois éprouvées. Ils cherchent des terminaux VPN vulnérables connectés à Internet, un port RDP ouvert ou des utilisateurs susceptibles de cliquer sur un lien ou de télécharger une pièce jointe dans un email de phishing. Et ils savent que ces derniers sont de loin les plus faciles à trouver.
C'est pourquoi la protection contre les ransomwares, l'extorsion de données et les attaques BEC, qui ont tous recours aux mêmes techniques (compromission d'identifiants de connexion, usurpation d'identité, malwares activés par les utilisateurs et vol de données), dépend avant tout des personnes. Les charges virales malveillantes sont presque toujours distribuées par le biais d'une attaque d'ingénierie sociale, qui requiert une interaction humaine. Lorsque vous protégez vos collaborateurs, vous renforcez votre cyberrésilience et réduisez le risque de réussite d'une multitude de cyberattaques.
Si les cybercriminels ne peuvent pas infiltrer votre entreprise, ils ne pourront pas non plus chiffrer les fichiers, subtiliser des données et interrompre les activités. Bien qu'il n'existe pas de solution miracle en matière de cybersécurité, protéger vos collaborateurs en tenant les menaces à l'écart et en défendant vos données est l'option qui s'en rapproche le plus.
Se protéger contre les ransomwares avec Proofpoint
Nos plates-formes intégrées complètes réduisent le risque d'attaques de ransomwares grâce à plusieurs niveaux de contrôles qui préviennent l'accès initial et les fuites de données.
Apprenez-en plus sur la protection contre les ransomwares offerte par Proofpoint.
Découvrez le numéro de New Perimeters — Protégez les personnes. Défendez les données.
Vous souhaitez lire d'autres articles de ce genre ? Suivez l'actualité de la cybersécurité grâce à notre magazine exclusif, New Perimeters. Vous pouvez parcourir cette publication en ligne, la télécharger pour la lire plus tard ou commander un exemplaire papier qui vous sera livré à votre adresse.
Téléchargez gratuitement New Perimeters, le magazine exclusif de Proofpoint, à cette adresse.