Les entreprises modernes d’aujourd’hui reposent sur des données, qui résident désormais dans d’innombrables applications cloud. Par conséquent prévention de la perte de données est essentiel à votre réussite. Ceci est particulièrement essentiel pour atténuer les attaques croissantes de ransomwares – une menace qui 57 % des responsables de la sécurité s’attendent à être compromis par l’année prochaine.
Comme les organisations continuent d’évoluer, tout comme les rançongiciels. Pour vous aider à garder une longueur d’avance, le directeur de la stratégie de Lookout, Aaron Cockerill, a rencontré la conseillère en chef de la sécurité de Microsoft, Sarah Armstrong-Smith, pour discuter de la manière dont travail à distance et le cloud ont rendu plus difficile la détection d’une attaque de ransomware, ainsi que la façon dont le déploiement d’une détection basée sur les anomalies comportementales peut aider à atténuer le risque de ransomware. Accéder à l’interview complète.
Aaron Cockeril : J’ai l’impression que le fonctionnement des entreprises modernes, qui comprend une combinaison de technologies, a permis au ransomware de prospérer. Ayant subi ce type d’attaque dans mes fonctions passées, je sais combien de CISO se sentent là-bas. L’instinct humain est de payer la rançon. Quelles tendances voyez-vous ?
Sarah Armstrong-Smith : Il est assez intéressant de réfléchir à l’évolution des ransomwares. Nous pensons que ces attaques sont vraiment sophistiquées. La réalité est que les attaquants privilégient ce qui a fait ses preuves : ils favorisent le vol d’informations d’identification, la pulvérisation de mots de passe, ils analysent le réseau, achètent des informations d’identification sur le dark web, en utilisant des kits de rançongiciels.
Donc, à bien des égards, les choses n’ont pas changé. Ils recherchent n’importe quel moyen d’accéder à votre réseau. Ainsi, bien que nous parlions de cyberattaques devenant sophistiquées, ce point d’entrée initial n’est vraiment pas ce qui distingue les opérateurs de ransomwares, c’est ce qui se passe ensuite.
C’est grâce à cette persévérance et cette patience. La tendance croissante est que les attaquants comprennent très bien l’infrastructure informatique. Par exemple, de nombreuses entreprises utilisent des machines Windows ou Linux ou ont des entités sur site. Ils peuvent également utiliser des services cloud ou des plates-formes cloud ou différents points de terminaison. Les attaquants comprennent tout cela. Ainsi, ils peuvent développer des logiciels malveillants qui suivent ces modèles d’infrastructure informatique. Et en substance, c’est là qu’ils évoluent, ils deviennent sages envers nos défenses.
Aaron : Une évolution à laquelle nous avons assisté est le vol de données et la menace de les rendre publiques. Voyez-vous la même chose ?
Sara: Oui, tout à fait. Nous appelons cela la double extorsion. Ainsi, une partie de l’extorsion initiale pourrait concerner le chiffrement de votre réseau et essayer de récupérer une clé de déchiffrement. La deuxième partie de l’extorsion concerne vraiment le fait que vous deviez payer une autre somme d’argent pour essayer de récupérer vos données ou pour qu’elles ne soient pas publiées. Vous devez supposer que vos données ont disparu. Il est très probable qu’il ait déjà été vendu et qu’il soit déjà sur le dark web.
Aaron : Selon vous, quels sont les mythes courants associés aux rançongiciels ?
Sara : Il existe une idée fausse selon laquelle si vous payez la rançon, vous récupérerez vos services plus rapidement. La réalité est tout autre.
Nous devons supposer que les opérateurs de rançongiciels voient cela comme une entreprise. Et, bien sûr, on s’attend à ce que si vous payez la rançon, vous receviez une clé de déchiffrement. La réalité est que seulement 65 % des organisations récupèrent leurs données. Et ce n’est pas une baguette magique.
Même si vous deviez recevoir une clé de déchiffrement, elles sont assez boguées. Et cela ne va certainement pas tout ouvrir. Souvent, il faut encore parcourir dossier par dossier et c’est incroyablement laborieux. Beaucoup de ces fichiers vont potentiellement être corrompus. Il est également plus probable que ces gros fichiers critiques sur lesquels vous comptez soient ceux que vous ne pourrez pas déchiffrer.
Aaron : Pourquoi les ransomwares affectent-ils toujours autant les entreprises ? Il semble que nous ayons parlé des méthodes utilisées par les attaquants pour lancer ces attaques, telles que le phishing et la compromission des e-mails professionnels, ainsi que la prévention de l’exfiltration de données et la mise à jour permanente des serveurs ? Pourquoi les ransomwares sont-ils toujours un si gros problème ? Et que pouvons-nous faire pour l’empêcher ?
Sara: Ransomware est géré comme une entreprise. Plus les gens paient, plus les acteurs de la menace vont faire des rançons. Je pense que c’est le défi. Tant que quelqu’un quelque part va payer, il y a un retour sur investissement pour l’attaquant.
Maintenant, la différence est de combien de temps et de patience l’attaquant dispose-t-il. Particulièrement certains des plus grands, ils auront de la persévérance, et ils auront la volonté et le désir de continuer à se déplacer dans le réseau. Ils sont plus susceptibles d’utiliser des scripts, différents logiciels malveillants, et ils recherchent cette élévation de privilèges afin de pouvoir exfiltrer des données. Ils resteront plus longtemps dans votre réseau.
Mais le défaut commun, si vous voulez, est que l’attaquant compte sur personne pour le surveiller. Nous savons que parfois les attaquants restent sur le réseau pendant des mois. Donc, au moment où le réseau a été crypté ou les données exfiltrées, il est trop tard pour vous. L’incident réel a commencé des semaines, des mois ou il y a longtemps.
C’est parce qu’ils apprennent nos défenses : « Est-ce que quelqu’un remarquera si j’élève les privilèges, si je commence à exfiltrer des données ? Et en supposant que je sois remarqué, est-ce que quelqu’un peut même répondre à temps ? » Ces attaquants ont fait leurs devoirs, et au moment où ils demandent une sorte d’extorsion ou de demande, ils ont fait une énorme activité. Pour les plus gros opérateurs de ransomwares, il y a un retour sur investissement. Ils sont donc prêts à consacrer du temps et des efforts parce qu’ils pensent qu’ils vont récupérer cet argent.
Aaron : Il y a un intéressant article écrit par Gartner sur la façon de détecter et de prévenir les ransomwares. Il indique que le meilleur point pour détecter les attaques se situe dans la phase de mouvement latéral, où un attaquant recherche des exploits à partir desquels pivoter ou des actifs plus précieux à voler.
Je pense que c’est l’un des défis les plus fondamentaux que nous ayons à relever. Nous savons quoi faire pour atténuer le risque de phishing – même si cela va toujours être un problème parce qu’il y a un élément humain là-dedans. Mais une fois qu’ils ont obtenu cet accès initial, obtenez un RDP (Remote Desktop Protocol) ou des informations d’identification pour le serveur ou quoi que ce soit, puis ils peuvent commencer ce mouvement latéral. Que fait-on pour le détecter ? On dirait que c’est la plus grande opportunité de détection.
Ecoutez à l’entretien complet pour entendre les réflexions de Sarah sur la meilleure façon de détecter une attaque de ransomware.
La première étape pour sécuriser les données consiste à savoir ce qui se passe. Il est difficile de voir les risques auxquels vous êtes confronté lorsque vos utilisateurs sont partout et utilisent des réseaux et des appareils que vous ne contrôlez pas pour accéder à des données sensibles dans le cloud.
Élimine les conjectures en obtenant une visibilité sur ce qui se passe, sur les terminaux non gérés et gérés, dans le cloud et partout entre les deux. Contactez Lookout aujourd’hui.