Tendance 2020 : Attaques ciblées avec ransomwares et cyber-assurance

En 2019, les experts ont prédit qu’une entreprise sera victime d’un ransomware (rançongiciel) toutes les 14 secondes. D’ici 2021, cet intervalle se réduira encore à 11 secondes. Le coût des dommages causés par les rançons à l’échelle mondiale devrait atteindre 20 milliards de dollars d’ici là.

La bonne nouvelle, c’est que les technologies IT évoluent à un rythme rapide: les systèmes sont de plus en plus sophistiqués. Mais, la mauvaise nouvelle c’est que les attaques IT avec demandes de rançons le sont aussi. À mesure que la technologie sous-jacente devient plus complexe, nous sommes confrontés à de nouveaux défis en matière de cybersécurité qui nécessitent plus de temps et de compétences pour prévenir et guérir.

Les attaques ransomwares de 2019 qui effraient les entreprises

Le paysage des logiciels de demandes de rançons est resté très animé tout au long de 2019, les pirates continuant à voir l’intérêt de cibler les organismes publics, les gouvernements et les entreprises. Dans ce court article, nous ferons un focus sur les attaques contre ces entités, sans rentrer dans les détails des attaques contre les individus, une autre vaste menace au niveau mondial.

Les grandes industries multinationales, ainsi que les administrations municipales et régionales des États-Unis, ont utilisé au moins 176 millions de dollars en 2019 pour couvrir les coûts liés aux attaques par rançon. Cela comprend le coût d’une enquête sur une attaque donnée, la restauration via des sauvegardes, la reconstruction des infrastructures, le paiement éventuel de la rançon et la mise en place de mesures préventives pour éviter que de tels événements ne se reproduisent à l’avenir.

Passons en revue quelques-unes des principales attaques ransomwares au niveau mondial, qui ont frappé des entreprises et des gouvernements l’année dernière :

  • Attaque coordonnée des villes du Texas – Une attaque coordonnée de ransomwares a touché 22 villes du Texas le 16 août, en utilisant le logiciel malveillant REvil (Sodinokibi). Les municipalités ont été exclues de leurs propres systèmes de IT après que des pirates informatiques aient piraté le logiciel d’un fournisseur de services tiers qui gérait à distance leur infrastructure de IT. Les pirates ont exigé une rançon de 2,5 millions de dollars, mais personne n’a payé (“Don’t Mess with Texas“). Ces villes sont passées de l’évaluation de la situation à la récupération, en engageant au moins 12 millions de dollars, y compris les coûts pour les gouvernements des comtés, les établissements d’enseignement et les villes.

  • Attaque par ransomwares à Baltimore – Plusieurs fonctions critiques pour Baltimore ont été chiffrées de manière malveillante le 7 mai lorsque ses systèmes informatiques ont été affectés par une souche de ransomware connue sous le nom de RobbinHood. Les dommages se sont étendus aux services de paiement en ligne pour les factures d’eau, aux systèmes de messagerie électronique et vocale des employés de la ville, aux taxes foncières et aux citations de circulation, aux transactions immobilières, et plus encore. Les pirates ont proposé une rançon de 76 000 $ en échange de la clé de déchiffrement. La ville a refusé et restauré les données et les systèmes de son propre chef, ce qui a entraîné des dépenses de 18,2 millions de dollars en efforts de récupération, en analyse judiciaire, en détection, en nouveau matériel et logiciel et en déploiement de nouveaux systèmes.

  • Attaque contre Norsk Hydro – Le fournisseur d’aluminium basé en Norvège a subi une importante attaque avec demande de rançon qui a eu des effets secondaires complexes de mars à l’été : problèmes de production, etc. Les coûts de recouvrement et d’atténuation du risque se situaient entre 60 et 71 millions de dollars. Les attaquants ont utilisé l’arme LockerGoga qui a également été utilisée contre de nombreuses cibles commerciales importantes comme le groupe Altran fin janvier.

  • Attaque contre Demant – Le fabricant danois d’aides auditives Demant a été confronté à un incident qui a incité la société à fermer son infrastructure informatique interne, car l’impact s’est fait sentir depuis les installations de production et de distribution polonaises de la société jusqu’à ses sites de production mexicains et son système ERP. Les coûts de recouvrement et d’atténuation du risque se sont élevés à un gigantesque montant de 80 millions de dollars ou plus.

Selon Statista, le Spam et le Phishing seraient les principales causes d’infections pour des logiciels de type ransomwares, suivis par un manque de formation à la cybersécurité et une faiblesse des mots de passe ou de la gestion des accès.

Chez TEHTRIS, nous avons enregistré une augmentation parallèle des pirates utilisant des vulnérabilités de sécurité à distance pour obtenir des accès illégaux ciblés sans interaction humaine, au-delà des opérations de Phishing, afin de les convertir en options de rançons plus tard, une fois que tout a été planifié (quelques jours à quelques semaines en général).

Par ailleurs, certains de ces cyber pirates ajoutent désormais à ces méfaits du vol de données afin de pouvoir les divulguer sur Internet au cas où les victimes refuseraient de payer.

2019 aura été illustré par des attaques en mode spray-and-pray (les attaquants attaquent dans tous les sens en espérant que cela finira par toucher de l’argent) ainsi que des attaques ciblées via des logiciels de demandes de rançon.

Que sont les attaques ciblées avec ransomwares et pourquoi elles se développent

Au fur et à mesure que la science et les technologies en cybersécurité gagnent en maturité, par exemple grâce à de l’apprentissage profond (AI/ML) et aux protections automatiques et avancées, les activités des pirates en mode “spray-and-pray” sont perturbées, limitant la capacité à réussir des infections via logiciels malveillants.

Ceci force les cybercriminels à lancer désormais des attaques ciblées avec des logiciels ransomwares, et cela peut rapporter des millions de dollars. Ces attaques avec des rançons en mode ciblé sont plus complexes à monter pour les cybercriminels car elles ne peuvent pas être achetées de toute pièce sur le dark web. Les attaquants doivent mettre la main sur le clavier et se livrer à un peu de bricolage, parfois en utilisant néanmoins quelques morceaux disponibles en mode “Ransomware as a Service“. On passe de l’attaque aveugle automatique, à de l’orfèvrerie fine pour effectuer de plus grandes demandes de rançons, organisées et réfléchies.

Au lieu de s’appuyer sur l’automatisation et les programmes de demandes de rançon assez génériques, ces pirates informatiques hautement qualifiés font maintenant des recherches sur les organismes gouvernementaux et les entreprises, trouvent des cibles, s’introduisent dans leurs ordinateurs, montent leurs privilèges dans les systèmes d’exploitations et applications, désactivent les outils de sécurité mal protégés, se préparent à chiffrer ou à détruire les sauvegardes, et attendent le bon moment pour lancer une infection massive interne grâce à des mouvements latéraux afin de chiffrer toutes un maximum de données.

Comme ces cybercriminels consacrent beaucoup de temps et d’efforts à ce processus, ils souhaitent retirer de plus grandes récompenses et ils exigent ainsi de plus fortes rançons. Les criminels bénéficient de salaires énormes grâce à des attaques ciblées via logiciels type ransomwares (jusqu’à 50 000 $ par attaque), donc ces menaces risquent de s’installer !

Pourquoi la cyberassurance devient un des moyens possibles pour les entreprises de garder leur argent et leur réputation intacts

Il est presque impossible pour une organisation de s’empêcher de figurer sur une liste d’une attaque ciblée. A moins de quitter complètement Internet, et encore.

Cependant, il y a quelques mesures que les organisations peuvent prendre pour atténuer le risque :

  1. Durcir (pour de vrai) et vérifier tous vos systèmes d’exploitation – Par exemple, l’Antivirus (EPP) vous aidera à lutter contre les menaces connues, mais vous devriez aussi doubler cette première ligne de sécurité grâce à des agents Endpoint Detection and Response (EDR) avec les bonnes configurations capables de se débarrasser des ransomwares et des hackers.

  2. Durcir et vérifier vos infrastructures – Par exemple, vous devez les protéger contre les menaces à distance (anti-phishing, pare-feu, sécurité des applications…), mais aussi contre les attaques internes car vous ne voulez pas voir de mouvements latéraux globaux avec des ransomwares (politiques améliorées de filtrage interne, vulnérabilités patchées, principe du moindre privilège appliqué partout, services de honeypots…).

  3. Restreindre et contrôler les accès à tous les services (distants et internes) – Par exemple, autoriser le VPN ou le RDP à partir d’adresses IP connues et utiliser de l’authentification multi-facteur, et vérifier les activités associées au niveau des réseaux.

  4. Savoir qui a fait quoi et quand – Par exemple, grâce à un SIEM avec de vraies règles de corrélations efficaces au niveau Cyber, vous pouvez suivre les accès non désirés et certains mouvements latéraux, pendant la phase de préparation où les pirates obtiennent leurs premiers accès et essaient de savoir jusqu’où ils peuvent creuser dans vos réseaux.

  5. Au niveau résilience des données, créez des copies papier et des copies électroniques archivées avec les informations critiques (ou presque tout si possible) qui ne peuvent pas être détruites à distance par les attaquants.

  6. Soyez cyber-assurés.

          La cyberassurance est un marché en croissance avec une opportunité potentiellement massive mais encore inexploitée pour les assureurs et les réassureurs. Selon PwC, les primes brutes annuelles émises devraient passer de 2,5 milliards de dollars aujourd’hui à 7,5 milliards de dollars d’ici à la fin de 2020.

          Les entreprises ne peuvent plus se permettre de rester en marge de la cyberassurance. Les cybercrimes deviennent plus coûteux, plus difficiles à détecter et de plus en plus difficiles à combattre.

          Alors que les entreprises se préparent à faire face aux cyber risques, le marché de la cyberassurance pourrait donc atteindre la somme colossale de 20 milliards de dollars d’ici 2025. Selon un récent sondage, 47 % des répondants indiquent maintenant avoir une option de cyberassurance, alors qu’ils n’étaient que 35 % en 2017.

          La volatilité et le dynamisme liés au marché de la cybercriminalité incitent les entreprises à chercher des moyens de réduire le risque pour leur activité. A tel point que 71% des PDG d’assurance et 61% des chefs d’entreprise considèrent les cyber-attaques comme une menace potentielle pour la croissance, les classant avant les changements de comportement des consommateurs et la rapidité des changements technologiques.

          Récemment, nous avons également enregistré de petits cas où les assureurs ont décidé de payer la rançon pour que leurs clients puissent récupérer leurs données, ce qui signifie qu’une activité business indirecte est organisée entre les cybercriminels et les cibles, permettant aux attaquants de réinjecter cet argent obtenu illégalement dans leurs innovations offensives pour … frapper à nouveau. Harder, Better, Faster, Stronger.

          Au fur et à mesure que la tendance s’accentue et que les cyberattaques telles que les intrusions ciblées avec usage de ransomwares deviennent à la fois plus fréquentes et plus graves, les entreprises chercheront à se procurer des produits de cyberassurance pour atténuer l’impact financier de ces menaces.

          Prévisions 2020 pour les attaques par ransomwares

          Les implications de ces tendances pour les professionnels de la sécurité et pour les entreprises sont claires. Il est maintenant temps de passer d’une posture strictement défensive concernant les demandes de rançons à une stratégie plus offensive. Les organisations doivent en effet devenir plus proactives dans la recherche et dans la correction des vulnérabilités qui peuvent être exploitées lors de ces attaques, avec en plus une couche efficace de détection et de réponse à incidents.

          Avec un paysage des menaces sur les demandes rançons Cyber assez massif en 2019, nous ne nous attendons pas à ce qu’il s’amoindrisse cette nouvelle année. L’extorsion par le biais de rançons dans l’espace Cyber est rentable pour les cybercriminels et ils continueront à jouer ces cartes.

          En 2020, ces adversaires pourraient se fixer des objectifs sur des environnements traditionnels plus faibles, avec un manque de procédures de sauvegarde et de restauration. De manière générale, les organisations se retrouveront probablement victimes d’attaques ciblées de ce type tant qu’elles accepteront de payer les conséquences.

          Si vous cherchez une entreprise de cybersécurité fiable pour vous aider à vous préparer à ces menaces, contactez-nous !