Andy Zollo, vice-président régional EMEA chez Imperva, évoque la menace croissante des attaques d’extorsion sans ransomware contre les entreprises.
Selon l’enquête 2022 sur les atteintes à la cybersécurité au Royaume-Uni, l’une des plus grandes menaces perçues par les organisations britanniques est le ransomware. Plus de la moitié (56 %) des personnes interrogées ont déclaré que leur organisation avait pour règle de ne pas payer les demandes de rançon, mais la croissance rapide de ces attaques et leur importance dans les médias montrent à quel point les rançongiciels peuvent être lucratifs pour les cybercriminels.
Cependant, la mise en œuvre d’une attaque par ransomware peut prendre beaucoup de temps. Il ne s’agit pas seulement d’accéder à un système : les attaquants doivent distribuer le logiciel malveillant, tout en veillant à ce que les fichiers qu’ils ciblent ne compromettent pas la stabilité du système et n’alertent pas leurs victimes trop tôt. De plus, pour qu’une telle attaque réussisse, ils doivent également identifier et supprimer les données et les copies de sauvegarde ou copies fantômes. Ainsi, bien que de telles attaques puissent être très rentables, le processus exige un effort considérable. Par conséquent, les pirates cherchent des moyens de rationaliser le processus et nous commençons à en voir les résultats dans une nouvelle vague d’attaques d’extorsion – la rançon sans ransomware.
Cela va faire mal à Kara
Un récent avertissement du FBI décrit les activités d’un groupe de cybercriminels appelé Karakurt, qui a demandé jusqu’à 13 millions de dollars de rançon à ses victimes. À cet égard, Karakurt fonctionne de la même manière que de nombreux groupes de ransomware, à ceci près que les victimes n’ont pas signalé de cryptage des machines ou des fichiers compromis. Au lieu de cela, Karakurt vole des données et menace de les mettre aux enchères ou de les publier en ligne si ses demandes ne sont pas satisfaites.
Les attaques de rançon basées sur le vol de données plutôt que sur le cryptage sont parfois appelées extorsion à multiples facettes et sont appelées à devenir monnaie courante. Non seulement la méthode est plus facile à mettre en œuvre mais, une fois que les criminels ont obtenu leur prix, il n’est pas nécessaire de faire des allers-retours sur les clés de cryptage pour déverrouiller les données prises en otage. Moins il faut de temps et d’efforts par victime, plus un collectif de pirates peut s’attaquer à un grand nombre de victimes, plus ses profits globaux sont élevés.
Ce phénomène reflète d’autres tendances dans le domaine des rançongiciels, comme les attaques par déni de service (RDoS), qui ont également connu une forte augmentation au cours des deux dernières années. Les attaques par déni de service peuvent souvent être incroyablement brèves – quelques minutes à peine – mais elles servent à démontrer aux entreprises que l’attaquant est capable de mettre leur réseau hors service et qu’il le fera plus longtemps si une rançon préventive n’est pas payée. Les attaques de type RDoS et les vols de données avec demande de rançon sont des itérations des versions précédentes qui permettent aux pirates d’extorquer plus facilement de l’argent avec moins de ressources.
Problèmes différents, même solution
La bonne nouvelle, c’est que la meilleure façon pour les entreprises de lutter contre les attaques par rançongiciel « à moindre effort » est aussi la façon de faire face à une foule d’autres menaces potentielles : s’attaquer à leurs données. Qu’il s’agisse d’extorsion à multiples facettes, de menaces internes ou de piratage des données de cartes de crédit, le facteur le plus important pour le succès d’une attaque est la visibilité dont dispose l’entreprise pour repérer le problème.
Par exemple, pour obtenir une rançon valable d’une entreprise, les cybercriminels doivent avoir exfiltré suffisamment d’informations sensibles pour que le non-paiement soit une option trop pénible. Selon la taille de l’entreprise, cela peut prendre des semaines, voire des mois. Toutefois, si l’organisation cible dispose d’une visibilité totale sur l’ensemble de ses données et peut constater que des informations sensibles, telles que les informations personnelles identifiables (PII) des clients ou des droits de propriété intellectuelle étroitement protégés, sont déplacées ou copiées, elle peut enquêter et arrêter les attaquants avant que suffisamment d’informations soient prises pour justifier une rançon.
En construisant une stratégie de cybersécurité autour du principe de la protection des données – plutôt que d’essayer de combattre les menaces individuellement – il est facile de voir comment les mêmes outils et approches permettent de se défendre simultanément contre les attaques de rançon, tout en empêchant un employé mécontent de se transformer en une menace interne majeure.
Découvrir, classer, protéger
Malheureusement, il est beaucoup plus facile de parler de « visibilité des données » que de l’obtenir. De nombreux facteurs doivent être pris en compte pour obtenir une visibilité totale, mais les deux plus importants sont la découverte et la classification. Aujourd’hui, les entreprises stockent de grandes quantités de données, réparties dans de multiples référentiels, notamment, mais pas exclusivement :
- Des bases de données déployées sur site ou dans le cloud ;
- Plateformes de big data ;
- Systèmes de collaboration ;
- Services de stockage en nuage ;
- Fichiers tels que des feuilles de calcul, des PDF ou des courriels.
Essayer de suivre manuellement chaque actif sur tous ces sites est pratiquement impossible, surtout lorsque les actifs sont fréquemment utilisés ou déplacés. C’est comme essayer de compter le nombre de grains de sable sur une plage alors que les vagues les réarrangent constamment. Le processus doit donc être automatisé. Les entreprises doivent être conscientes de chaque actif de données sur leur réseau – qu’il soit structuré ou non – sinon il s’agit d’une cible parfaite pour l’exfiltration et la demande de rançon.
Après avoir effectué une découverte complète des données, l’étape suivante est la classification. Encore une fois, la classification manuelle des données n’est pas réalisable, sauf pour les plus petites entreprises. Il faut donc un processus automatique, qui classe les informations dans des catégories de sensibilité élevée, moyenne et faible.
Il n’y a pas de règle absolue sur la façon de classer les données. Mais une sensibilité élevée comprendrait des choses comme des informations financières ou des identifiants pour les systèmes informatiques ; une sensibilité moyenne pourrait être des contrats de fournisseurs ou de la correspondance interne qui n’implique pas de données confidentielles ; et une faible sensibilité serait des informations accessibles au public comme des communiqués de presse ou du matériel de marketing.
Une fois que toutes les données sont découvertes et classifiées, il est beaucoup plus facile de développer des processus robustes pour surveiller et protéger les informations importantes, en les gardant hors des mains d’extorqueurs potentiels.
Rançon, évolué
La cybersécurité est un combat permanent car de nouvelles menaces apparaissent sans cesse. Les rançongiciels ont été le plus grand sujet de sécurité de ces dernières années, mais nous voyons déjà les criminels étendre leurs opérations et trouver de nouveaux moyens de soutirer des profits aux victimes.
Il est impossible de savoir précisément comment ces menaces de rançongiciels vont évoluer, mais à la base, le rançongiciel implique des attaques sur les données des entreprises. Toute stratégie de cybersécurité doit donc partir de la question de savoir comment protéger les données, car si les données sont sécurisées et gérées, il n’y a pas de rançon à obtenir.