Les attaques de ransomware n’ont fait qu’augmenter en sophistication et en capacités au cours de l’année écoulée. Des nouvelles techniques d’évasion et d’anti-analyse aux variantes plus furtives codées dans de nouveaux langages, les groupes de ransomwares ont adapté leurs tactiques pour contourner efficacement les stratégies de défense courantes.
Cet article ne couvrira que quelques-uns de ces nouveaux développements au troisième trimestre 2023 et donnera des prévisions sur les trimestres à venir. L’objectif général est d’établir un récapitulatif des principales cibles (à la fois sectorielles et nationales et régionales), des nouvelles techniques utilisées en mettant l’accent sur les incidents majeurs, les nouveaux développements préoccupant les cibles potentielles, ainsi que la forme des choses à venir. dans l’avenir du développement des Ransomwares.
La militarisation accrue des vulnérabilités pour diffuser des ransomwares :
Cyble a observé une augmentation des cas d’utilisation de vulnérabilités comme vecteur pour diffuser des ransomwares et d’autres logiciels malveillants au cours des derniers mois, avec un accent particulier sur les appareils réseau. Cela marque un changement par rapport à l’accent précédemment mis sur la militarisation des logiciels et des applications de transfert de fichiers gérés (MFT).
Cela a été observé dans le cas de vulnérabilités à fort impact qui ont conduit à la compromission de titans de l’industrie, comme cela a été observé dans le cas de la vulnérabilité MOVEit et de l’attaque de la chaîne d’approvisionnement Barracuda Networks. Toutes les indications pour le troisième trimestre et les mois montrent que les opérateurs de ransomwares continueront à militariser les vulnérabilités et à exploiter les failles Zero Day pour fournir des charges utiles de ransomwares afin de compromettre leurs cibles.
Même si le jour zéro est, par définition, inconnu jusqu’à ce qu’il soit exploité, les organisations peuvent prendre des mesures pour garantir que leur vulnérabilité à un jour zéro exploitable soit minimisée. Les organisations doivent également s’assurer que les logiciels et les produits qu’elles utilisent sont à jour et mettre en œuvre des stratégies de cyber-sensibilisation pour garantir que les vulnérabilités potentiellement exploitables soient identifiées et sécurisées en priorité.
Bien qu’il s’agisse d’une découverte importante à surveiller, Laboratoires de recherche et d’intelligence Cyble (CRIL) J’ai découvert plusieurs autres tendances dans le domaine des ransomwares qui méritent d’être surveillées :
1. Changement d’orientation sectorielle – L’industrie de la santé dans la ligne de mire
Alors que le premier semestre a été marqué par une augmentation des attaques de ransomwares contre le secteur manufacturier, les tendances récentes indiquent un changement d’orientation vers le secteur de la santé. Cela a propulsé la santé parmi les 5 secteurs les plus ciblés par les groupes de ransomwares, représentant près d’un quart de toutes les attaques de ransomwares. Ces attaques ont un motif spécifique : collecter des informations de santé protégées (PHI) et d’autres données sensibles auxquelles les prestataires de soins de santé et les institutions ont accès et vendre ces données sur le darkweb.
Le secteur de la santé est particulièrement vulnérable aux attaques de ransomwares car il dispose d’une surface d’attaque extrêmement vaste couvrant plusieurs sites Web, portails, des milliards de dispositifs médicaux IoT et un vaste réseau de partenaires et de fournisseurs de chaîne d’approvisionnement. Un plan de cybersécurité standardisé pour ce secteur est donc impératif pour assurer la sécurité de ces données critiques et garantir le bon fonctionnement des fonctions de santé critiques.
2. Les organisations à revenus élevés restent la priorité
Les opérateurs de ransomwares peuvent souvent sembler aveugles lorsqu’il s’agit de leurs cibles ; cependant, c’est un fait connu qu’ils préfèrent cibler les organisations à revenus élevés qui traitent des données sensibles. Cela contribue non seulement à renforcer le profil de l’opérateur Ransomware en tant que menace sérieuse, mais garantit également une probabilité plus élevée que des paiements de ransomware soient effectués.
La raison en est double : les organisations à revenus élevés ont les moyens de payer les rançons exorbitantes exigées, et elles sont également plus susceptibles de voir leur image ternie en paraissant incompétentes dans le traitement des données sensibles et en conservant leur réputation d’entreprise réputée. .
Outre la santé, les secteurs les plus ciblés au cours du trimestre précédent étaient les services professionnels, l’informatique et l’ITES, ainsi que la construction en raison de leur valeur nette élevée et de leurs surfaces d’attaque élargies.
3. Les États-Unis restent la nation la plus ciblée
Bien que plusieurs tendances concernant les victimes et les tactiques des ransomwares aient évolué sur une base trimestrielle, la tendance établie selon laquelle les États-Unis sont la région la plus ciblée par les opérateurs de ransomwares est une constante. En témoigne le fait qu’au cours du seul troisième trimestre 2023, les États-Unis ont été confrontés à davantage de attaques de ransomware que le les 10 prochains pays combiné.
Le raisonnement peut être attribué au rôle unique des États-Unis en tant que nation hautement numérisée avec un engagement et une sensibilisation massifs à l’échelle mondiale. En raison de facteurs géopolitiques, les États-Unis constituent également une cible privilégiée pour les groupes hacktivistes qui exploitent les ransomwares pour atteindre leurs objectifs en raison d’une injustice sociale perçue ou pour protester contre des politiques étrangères et nationales.
Le Royaume-Uni arrive en deuxième position, loin derrière, en termes de volume d’attaques de ransomware au troisième trimestre, suivi de l’Italie et de l’Allemagne.
4. LOCKBIT reste une menace puissante, tandis que les nouveaux groupes Ransomware se font rapidement un nom
Alors que le nombre total d’attaques de LOCKBIT était légèrement inférieur à celui du trimestre précédent (une baisse de 5%), ils ciblent toujours le plus grand nombre de victimes, avec 240 victimes confirmées au troisième trimestre 2023.
Les nouveaux acteurs sur la scène des ransomwares ne sont cependant pas restés inactifs. Le troisième trimestre 2023 a été témoin d’une recrudescence des attaques de groupes plus récents tels que Cactus, INC Ransom, Metaencryptor, ThreeAM, Knight Ransomware, Cyclop Group et MedusaLocker, indiquant que ces groupes, bien qu’ils n’aient pas le même profil et la même présence mondiale que des acteurs majeurs comme LOCKBIT , restent de puissantes menaces.
5. L’adoption croissante de Rust et GoLang dans les nouvelles variantes de ransomwares
Les groupes de ransomwares ont toujours essayé de rendre leurs activités plus difficiles, voire impossibles, à détecter ou à analyser. Il est donc difficile pour les victimes, les experts en cybersécurité et les gouvernements d’analyser et d’étudier le ransomware, son vecteur d’infection et son mode de fonctionnement, après quoi des mesures correctives sont mises en œuvre en conséquence.
Les tendances récentes que nous avons observées mettent cependant en évidence la popularité croissante de Rust et GoLang parmi les groupes de ransomwares de premier plan tels que Hive, Agenda, Luna et RansomExx. La raison en est, encore une fois, double : les langages de programmation comme Rust rendent plus difficile l’analyse de l’activité du ransomware sur le système de la victime. Ils ont l’avantage supplémentaire d’être plus faciles à personnaliser pour cibler plusieurs systèmes d’exploitation, augmentant ainsi la létalité et la base cible de tout ransomware créé à l’aide de ces langages.
Comment les organisations ont-elles réagi à ces développements
Chaque cycle d’actualité semble contenir au moins un cas où une organisation de premier plan ou un leader de l’industrie a été victime d’un Ransomware à un moment donné, les récentes violations de Caesar’s Palace et de MGM Casino par BlackCat/ALPHV Ransomware en étant de parfaits exemples.
Cela a même attiré l’attention des gouvernements et des organismes de réglementation du monde entier, qui ont mis en place des mesures pour aider à atténuer l’impact et l’incidence des attaques de ransomwares. Les entreprises ont également pris les choses en main en mettant en œuvre des pratiques visant à prévenir les risques et à atténuer l’impact des attaques de ransomwares. Certaines étapes notables que nous avons observées sont :
1. Accent sur la formation des employés
Le personnel d’une organisation constitue souvent la première ligne de défense contre toute attaque, et les ransomwares ne font pas exception. Les entreprises ont donc intensifié leurs programmes de formation et de sensibilisation à la cybersécurité, en déployant des sessions de formation obligatoires en matière de cybersécurité et en favorisant une culture de sensibilisation à la cybersécurité. Les principaux exemples en sont la formation sur la manière d’identifier les tentatives de phishing, de gérer les pièces jointes suspectes et d’identifier les tentatives d’ingénierie sociale.
2. Planification de la réponse aux incidents
Malgré les efforts déployés pour les prévenir, les attaques Ransomware peuvent toujours se produire en raison de divers facteurs. Les organisations en ont tenu compte et se sont concentrées davantage sur l’élaboration d’une réponse globale à de tels incidents. Ceux-ci incluent des protocoles juridiques pour informer les autorités, les prochaines étapes de sécurité interne, les réponses de l’équipe de sécurité informatique et la mise en quarantaine de tous les systèmes/produits concernés.
3. Récupération et sauvegardes améliorées
Les attaques de ransomware ont deux objectifs principaux : accéder aux données sensibles et chiffrer ces données pour les rendre inutilisables pour les organisations cibles. Pour faire face à ce risque, les organisations ont commencé à se concentrer davantage sur la sauvegarde des données sensibles et à créer des processus de récupération complets pour celles-ci.
4. Mise en œuvre d’une architecture Zero-Trust et d’une authentification multifacteur
Les groupes de ransomware ont déjà exploité l’élément humain pour activer ou améliorer les attaques de ransomware via des courtiers d’accès initial, des attaques de phishing, etc. En réponse, les entreprises ont mis en œuvre une architecture Zero-Trust et MFA sur toutes les plates-formes et données critiques, nécessitant plusieurs niveaux d’authentification vérifiés. pour accorder l’accès à des données sensibles.
5. Partage de renseignements et collaboration avec les forces de l’ordre
Des organisations des mêmes secteurs ont créé des centres de partage et d’analyse d’informations (ISAC) pour les aider à mettre en commun leurs ressources et leurs informations afin de lutter contre les futures tentatives de ransomware. Ils travaillent également en étroite collaboration avec les forces de l’ordre et les organismes de réglementation pour signaler les tentatives de ransomware et aider à diagnostiquer les failles de sécurité.
6. Adoption/utilisation accrue des plateformes de renseignement sur les menaces
En raison de leurs compétences spécifiques dans ce domaine, ainsi que de leurs capacités avancées d’IA et d’apprentissage automatique, les organisations utilisent de plus en plus Plateformes de renseignement sur les menaces pour leur expertise, leur détection d’anomalies et leur analyse comportementale afin d’obtenir des informations sur les menaces en temps réel pour aider à atténuer les attaques de ransomwares.
7. Focus sur la gestion des vulnérabilités
Les vulnérabilités ont été mises en lumière au cours des dernières années lors d’incidents majeurs tels que les récentes vulnérabilités MoveIT et PaperCut permettant des exploits et des cyberattaques. Les organisations ont donc mis en œuvre gestion des vulnérabilités et des protocoles pour garantir que tous les logiciels critiques sont à jour et régulièrement mis à jour.
8. Sécurisation des chaînes d’approvisionnement et gestion des risques liés aux fournisseurs
Dans le cas où un opérateur de Ransomware ne peut pas pirater une organisation, il n’est pas rare qu’il cible sa chaîne d’approvisionnement via des fournisseurs, des partenaires et des tiers qui ne sont peut-être pas aussi cybersécurisés. Les organisations ont donc déployé des évaluations des risques liés aux fournisseurs pour garantir que l’ensemble de leur chaîne d’approvisionnement est hermétique et uniformément protégée contre les tentatives potentielles de ransomware.
Découvrez des informations clés et comprenez comment les groupes de ransomwares font évoluer leurs tactiques pour cibler les victimes. Téléchargez maintenant le rapport sur les ransomwares du troisième trimestre 2023.
Comment la plateforme de renseignement sur les menaces basée sur l’IA de Cyble, Cyble Vision, peut-elle vous aider ?
Grâce à une vision approfondie du Web de surface et du Web profond, Vision peut vous donner une longueur d’avance sur les opérateurs de Ransomware.
- Grâce à une analyse approfondie des menaces, Vision peut vous aider à identifier les points faibles de l’empreinte des risques numériques de votre organisation et vous guider sur la manière de combler ces lacunes que les groupes de ransomwares pourraient potentiellement exploiter.
- Vision a la capacité d’analyser l’intégralité de votre surface d’attaque, s’étendant également à vos fournisseurs, partenaires et tiers, vous donnant ainsi la possibilité de sécuriser l’ensemble de votre chaîne d’approvisionnement et de votre écosystème contre les attaques.
- Le fait d’être alimenté par l’IA permet à Vision d’analyser de grandes quantités de données provenant de toutes les parties du Web de surface, profond et sombre, permettant ainsi des mises à jour en temps réel du comportement des acteurs de la menace.
- En mettant l’accent sur la surveillance du Darkweb, Vision peut vous permettre de suivre les modèles et les actions des acteurs des menaces sur le Darkweb. Qu’il s’agisse de discuter d’une nouvelle variante ou de surveiller les programmes d’affiliation, vous pouvez garder une longueur d’avance sur les opérateurs de Ransomware.
Si vous souhaitez découvrir comment Vision peut améliorer la sécurité de votre organisation, contactez les experts en cybersécurité de Cyble pour un démo gratuite ici.