Les experts appellent à la résilience face aux ransomwares alors que la crise s'intensifie

Ces derniers mois ont été très chargés en ransomwares. Fin août, plusieurs organisations de cybersécurité américaines ont alerté contre un groupe de ransomwares en tant que service appelé RansomHub. Ce groupe criminel, anciennement connu sous le nom de Cyclops et Knight, est actif depuis février de cette année et a rassemblé des affiliés d'autres groupes tels que LockBit.

RansomHub a crypté et volé les données d'au moins 210 victimes, selon un rapport avis de Le FBI, l’Agence de cybersécurité et de sécurité des infrastructures, le Centre d’analyse et de partage d’informations multi-États et le ministère de la Santé et des Services sociaux des États-Unis ont collaboré avec les agences de renseignement américaines. Ces agences ont couvert de nombreux secteurs que le gouvernement américain considère comme faisant partie de ses infrastructures nationales essentielles, notamment l’eau et les eaux usées, l’informatique, les services du secteur public, les soins de santé, les services d’urgence, l’alimentation et l’agriculture et les services financiers.

Une menace évolutive

RansomHub évolue. Il a récemment des services un outil appelé EDRKillShifter qui désactive les logiciels de détection des terminaux, leur permettant d'infecter les systèmes avec plus de succès. Les affiliés du ransomware utilisant l'outil se propagent ensuite latéralement à travers le réseau cible, infectant les systèmes et exfiltrant et chiffrant les logiciels malveillants dans une attaque à double extorsion.

Alors que des menaces de ce type continuent de peser sur les infrastructures nationales essentielles, il n’est pas étonnant que le gouvernement américain fasse plus de bruit que jamais au sujet de la menace des ransomwares. Ce mois-ci, le directeur national de la cybersécurité, Harry Coker, a mis en garde contre la menace croissante des attaques de ransomwares. La Maison Blanche a également organisé son quatrième sommet de l’Initiative internationale de lutte contre les ransomwares, auquel ont participé 68 pays (dont 18 nouveaux) pour tenter d’éradiquer les ransomwares.

Le dernier sommet a mis en place un fonds de lutte contre les ransomwares pour aider les organisations membres à renforcer leurs capacités de lutte contre les ransomwares, ainsi que des conseils pour les victimes sur la manière de faire face à une attaque de ransomware. Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes, a une fois de plus mis en garde les assureurs contre le financement des paiements de rançons.

Laura Payne, PDG de White Tuque, une société canadienne de conseil en cybersécurité, estime qu'éviter de payer est une bonne politique. « On ne sait pas à qui va cet argent, et il est fort probable qu'il soit destiné à quelque chose qui a un lien avec une activité terroriste. Cela vous met dans une situation dangereuse d'un point de vue juridique », dit-elle.

Neuberger n'a pas recommandé de mesures telles qu'une interdiction pure et simple du financement des paiements de rançons. Cependant, cela pourrait s'avérer inutile, car les assureurs sont confrontés à une pression financière accrue en raison des réclamations pour ransomware. rapport Selon une étude de la Coalition des assureurs cyber, si le nombre de sinistres a diminué au cours du premier semestre de cette année par rapport au premier semestre 1, les pertes ont augmenté de 2023 % dans l'ensemble. La perte moyenne liée aux ransomwares a augmenté de 14 %, pour atteindre 68 353,000 dollars.

« Il y a quelques années, au Canada, j’ai entendu un assureur en parler et il a dit que la seule chose qui était une activité d’assurance moins rentable était les dommages causés par la grêle, ce qui montre à quel point la situation est mauvaise », a déclaré Payne.

Mieux vaut prévenir que guérir

Bien entendu, mieux vaut prévenir que guérir. Comment les entreprises peuvent-elles se protéger contre les attaques de ransomware ? L'avis de RansomHub recommande plusieurs mesures, à commencer par un plan de récupération et une authentification multifacteur. Il ajoute qu'il est également essentiel de maintenir tous les logiciels et micrologiciels à jour, ce qui contribuera à bloquer les ransomwares qui s'appuient sur des vulnérabilités connues.

Étant donné que les intrus de ransomware opèrent en se propageant latéralement dans une organisation, l’avis recommande également de segmenter les réseaux pour empêcher les attaquants d’accéder facilement à d’autres parties de l’infrastructure.

L'avis recommande également des mots de passe entre 64 et XNUMX caractères, ce qui correspond aux recommandations du NIST. « Plus c'est long, plus c'est fort », convient Payne. Elle a également plusieurs autres conseils en matière d'hygiène informatique.

« Ayez une bonne protection de base et un service anti-malware de haute qualité », ajoute-t-elle. Assurez-vous que vos réseaux sont configurés avec la norme sans fil actuelle, qui serait WPA2 ou WPA3 avec un mot de passe. N'utilisez pas de Wi-Fi public et sauvegardez vos données. »

Les auteurs de l'avis recommandent que ces sauvegardes soient chiffrées et immuables afin que les attaquants ne puissent pas les altérer. La conservation de sauvegardes hors ligne est une bonne stratégie dans ce cas, mais plusieurs systèmes de stockage sur le marché rendent les données de sauvegarde immuables au niveau du système d'exploitation. Les organisations peuvent également utiliser du matériel WORM (write-once-read-many) pour de telles sauvegardes afin de garantir une protection au niveau du matériel.

L'avis recommande d'autres mesures de protection, notamment une gestion minutieuse des autorisations internes. Par exemple, la désactivation de nombreux outils de script en ligne de commande peut contribuer à empêcher les attaquants de « vivre de la terre » en leur permettant de se déplacer latéralement et de voler des données sans déclencher l'alarme.

Le document recommande également de vérifier les comptes pour garantir un accès avec le minimum de privilèges et un accès limité dans le temps pour les comptes administratifs afin de fermer la fenêtre d'attaque. Il avertit également les administrateurs de désactiver les ports inutilisés et d'utiliser des outils de surveillance du réseau pour repérer et suivre les activités inhabituelles.

Les organisations à l’origine de l’avis recommandent également de protéger les e-mails – un système de diffusion courant des ransomwares – en plaçant des bannières sur les e-mails provenant de l’extérieur de l’organisation et en désactivant les hyperliens dans tous les e-mails reçus.

Ces recommandations reflètent les règles de base de la cybersécurité et, comme le débat sur les ransomwares, elles circulent depuis des années. « Cela ne me dérange pas de les répéter », déclare Payne. Elle doit le faire, tout comme les agences gouvernementales, car de nombreuses entreprises ne les écoutent pas. Tant qu'elles ne le feront pas, la crise continuera.