Tout au long de 2018, les criminels ont continué de cibler les grandes organisations avec des rançongiciels. Aujourd'hui, nous présentons un nouveau white paper qui explique pourquoi les rançongiciels constituent toujours une menace sérieuse pour votre entreprise - quelle que soit sa taille - et ce qui peut être fait pour réduire l'exposition aux attaques de rançongiciels et les dommages causés par celles-ci.

Ce document d’analyse se concentre sur trois vecteurs d'attaque particulièrement dangereux : l'accès à distance, le courrier électronique et la chaîne d'approvisionnement. Ce document a pour but d'aider les PDG, les DPI, les DSI, et les gestionnaires de risques d'une entreprise à comprendre l'état actuel de la menace des rançongiciels ainsi que plusieurs sujets de préoccupation en évolution. Les aspects plus techniques de la réponse aux demandes de rançon sont abordés dans une annexe.

Des objectifs plus ambitieux, des exigences plus élevées

Si votre organisation n'a pas été victime d'une demande de rançon récemment, vous pourriez être tenté de supposer que cette menace a reculé dans les archives de la cybercriminalité. Les manchettes de la presse spécialisée ont décrit les rançongiciels comme « une tendance 2017 » et « en déclin, par rapport à l'extraction de cryptomonnaie. » Essentiellement, ces manchettes reflètent le fait que, bien que les détections de cryptominage aient augmenté, certains des indicateurs les plus évidents de l'activité des rançongiciels ont diminué; mais pour être clair, les rançongiciels constituent toujours une menace sérieuse pour votre entreprise.

Songez à ce qui est arrivé à la ville d'Atlanta aux États-Unis. Cinq services de l'administration municipale ont été touchés par une demande de rançon : Services correctionnels, gestion des bassins hydrographiques, ressources humaines, parcs et loisirs et urbanisme. Diverses fonctions de la ville ont été touchées par l'attentat, notamment la possibilité d'accepter le paiement en ligne des factures d'eau et des contraventions. Le Wi-Fi de l'aéroport international Hartsfield-Jackson d'Atlanta a été éteint pendant une semaine. Bien qu'Atlanta ait rejeté à juste titre la demande de rançon de 50 000 $, l'impact financier a été de l'ordre de plusieurs millions de dollars (et pourrait s'élever à près de 17 millions de dollars).

Comme nous le documentons dans cette publication, de nombreuses autres organisations du secteur SLED (c'est-à-dire les gouvernements des États et des collectivités locales et le secteur de l'éducation) ont été victimes d'attaques coûteuses par des rançongiciels. Nous sommes au courant de ces attaques parce que les entités SLED ont généralement des exigences en matière de rapports publics. Il en va de même dans le secteur des soins de santé, où la réglementation gouvernementale peut exiger la divulgation, quand la sécurité des patients est menacée.

Mais qu'en est-il des organisations qui ne sont pas tenues de divulguer les atteintes à la sécurité des données? Il est raisonnable de supposer qu'une entreprise commerciale qui est victime d'une attaque ciblée par un rançongiciel tentera d'éviter de faire les manchettes si possible. Et cela signifie que nous ne pouvons pas nous fier aux rapports publiés sur les attaques de rançon pour évaluer l'ampleur de la menace. Ce que nous savons, pour nous être entretenus avec le personnel de soutien des fournisseurs de services gérés et des fournisseurs de sécurité, c'est que les rançongiciels continuent d'être un crime coûteux qui ne manque pas de victimes dans tous les secteurs d'activité.

Le facteur RDP

Une autre chose que nous savons, c'est qu'un certain nombre d'attaques de demandes de rançon de 2018 contre des entités de soins de santé et gouvernementales impliquent une famille de rançongiciels connus sous le nom de SamSam (détectés par ESET comme MSIL/Filecoder.Samas). Les attaques de SamSam en 2018 ont pénétré des organisations « en utilisant la force brute contre les points d’accès du RDP » (US Department of Health and Human Services).

Un terminal RDP est un dispositif, tel qu'un serveur de base de données, qui exécute un logiciel RDP (Remote Desktop Protocol) afin que le dispositif puisse être accessible via un réseau, tel qu'Internet. Si l'accès au serveur n'est protégé que par un nom d'utilisateur et un mot de passe, un attaquant, après avoir identifié le serveur comme cible, tentera à plusieurs reprises de les deviner, souvent à un rythme élevé, d'où le terme : attaque par force brute. En l'absence de tout mécanisme permettant de limiter les mauvaises suppositions multiples, de telles attaques peuvent être très efficaces et conduire à un compromis généralisé du réseau de l'organisation. Un rançongiciel a frappé le géant des tests médicaux Lab Corp en juillet 2018 via RDP et a atteint 7000 systèmes et 350 serveurs de production en moins d'une heure (CSO).

En date du 28 octobre 2018, le scanner Shodan indiquait que plus de deux millions et demi de systèmes sur Internet utilisaient explicitement RDP (l'enregistrement peut être nécessaire pour visualiser les requêtes Shodan filtrées). Plus d'un demi-million de ces systèmes se trouvaient aux États-Unis. Pour un attaquant, toutes ces machines sont des cibles potentielles à explorer. Une fois compromis, ils peuvent être exploités ou, comme le précise le livre blanc, leurs références peuvent être vendues sur des marchés sombres comme xDedic.

Résumé

Les menaces à la cybersécurité sont cumulatives et ce phénomène de « cumulativité des menaces » signifie qu'une recrudescence de l'abus criminel des ressources informatiques pour le cryptominage ne crée pas une pénurie de criminels pour développer et déployer des techniques d'exploitation RDP afin de créer un vecteur d'attaque rentable pour les rançongiciels. De même, le fait de limiter l'utilisation de la RDP par votre organisation - ce qui doit se produire pour diverses bonnes raisons - ne signifie pas qu'il faille négliger la formation anti-hameçonnage.

Le white paper indique clairement que, parallèlement à une formation efficace des employés, les organisations ont besoin de politiques de sécurité saines, appliquées de manière exhaustive et fermement appliquées, d'une combinaison adéquate de produits et d'outils de sécurité, y compris des systèmes de sauvegarde et de récupération testés, et d'un plan de réponse aux incidents constamment mis à jour. Même avec tout cela, plus une vigilance constante, vous n'avez pas l'immunité garantie contre les attaques. Vous pouvez néanmoins augmenter considérablement vos chances de détourner les attaquants et de vous remettre d'une attaque.

Tant que les gouvernements à l’échelle mondiale ne parviendront pas à une détente mondiale, la lutte contre la cybercriminalité ne se poursuivra pas seulement, elle s'étendra également, de même que les avantages que la société tirera des nouvelles technologies. Espérons qu'en expliquant pourquoi les rançongiciels constituent toujours une menace sérieuse pour votre organisation et ce qui peut être fait pour s'en défendre, ce white paper vous aidera à profiter de tous les avantages de cette sécurité tout en minimisant les pertes causées par de mauvais acteurs.

Télécharger le white paper : Rançongiciels: Une perspective d'entreprise (ou Ransomware: An enterprise perspective).