Lorsque les ransomwares frappent la nuit, comment votre organisation peut-elle rester en sécurité ?

Les ransomwares sont l'histoire de la cybersécurité de la dernière décennie. Mais au fil du temps, les tactiques, techniques et procédures des adversaires ont continué à évoluer en fonction de la course aux armements en constante évolution entre les attaquants et les défenseurs des réseaux. Le nombre d'entreprises victimes choisissant de payer leurs extorqueurs étant historiquement faible, les affiliés aux ransomwares se concentrent sur la rapidité, le timing et le camouflage.

La question est la suivante : la plupart des attaques se produisant désormais le week-end et aux premières heures du matin, les défenseurs du réseau disposent-ils toujours des outils et des processus appropriés pour atténuer la menace ? Les organisations de services financiers, en particulier, auront besoin d'une réponse urgente à ces questions avant de se conformer à la directive de l'UE sur les services financiers. Loi sur la résilience opérationnelle numérique (DORA).

De mieux en mieux

Selon un certain nombre de mesures, les ransomwares continuent de prospérer. Cette année devrait être la plus lucrative de tous les temps, selon une analyse des paiements en crypto-monnaies vers des adresses liées à la criminalité. Selon un rapport d'août d'un enquêteur sur la blockchain Réduction de la chaîneLes « flux » de ransomware depuis le début de l’année (YTD) s’élèvent à 460 millions de dollars, soit une hausse d’environ 2 % par rapport à la même période l’année dernière (449 millions de dollars). L’entreprise affirme que cette augmentation est en grande partie due à la « chasse au gros gibier », une tactique consistant à s’en prendre à un nombre réduit de grandes entreprises victimes, qui peuvent être plus capables et disposées à payer des rançons plus importantes. Cette théorie est confirmée par un paiement de 75 millions de dollars effectué par une entreprise anonyme au groupe de ransomware Dark Angels au début de l’année – le plus important jamais enregistré.

Dans l’ensemble, le paiement médian des rançons pour les souches de ransomware les plus courantes a également augmenté, passant d’un peu moins de 200,000 2023 $ début 1.5 à 2024 million de dollars à la mi-juin XNUMX. Selon Chainalysis, cela suggère que « ces souches ciblent en priorité les grandes entreprises et les fournisseurs d’infrastructures critiques qui peuvent être plus susceptibles de payer des rançons élevées en raison de leurs poches profondes et de leur importance systémique ».

La force apparente de l’écosystème des ransomwares est d’autant plus impressionnante que les forces de l’ordre ont remporté des victoires en début d’année, qui ont semblé perturber deux groupes majeurs : LockBit et ALPHV/BlackCat. Chainalysis affirme que ces efforts ont quelque peu fragmenté la cybercriminalité clandestine, les affiliés se tournant vers des « souches moins efficaces » ou lançant leurs propres attaques. Cela concorde avec une analyse du deuxième trimestre 2 réalisée par le spécialiste des ransomwares Coveware, qui prétend Selon l'étude, le nombre de groupes de « loups solitaires » non affiliés à une marque de ransomware majeure a augmenté. Beaucoup ont pris cette décision « en raison de la menace croissante d'exposition, d'interruption et de perte de profit associée aux marques de ransomware « toxiques ».

Mais le fait est que ces acteurs malveillants sont toujours actifs. Et avec des taux de paiement en baisse, passant d’environ 85 % des victimes en 2019 à environ un tiers de ce chiffre aujourd’hui, ils cherchent toujours des moyens de rendre leurs efforts plus efficaces.

Timing Is Everything

Un nouveau rapport Le groupe ThreatDown de Malwarebytes révèle exactement comment ils espèrent y parvenir. Ils affirment qu'au cours de l'année écoulée, davantage de groupes de ransomware ont attaqué leurs victimes le week-end et aux premières heures du matin. L'équipe de gestion des menaces a traité la plupart des attaques entre 1 et 5 heures du matin, heure locale.

La raison est évidente : les acteurs malveillants espèrent attraper une organisation alors que son équipe informatique est profondément endormie ou recharge ses batteries le week-end.

En outre, le rapport affirme que les attaques sont de plus en plus rapides. En 2022, un Étude Splunk Malwarebytes a testé les 10 principales variantes de ransomware et a constaté que la vitesse moyenne de cryptage de 100,000 43 fichiers était de seulement XNUMX minutes, LockBit étant le plus rapide de tous avec seulement quatre minutes. Mais ce que Malwarebytes constate, c'est une accélération de toute la chaîne d'attaque, de l'accès initial au mouvement latéral, en passant par l'exfiltration des données et enfin le cryptage. Cela donne aux défenseurs du réseau, les yeux brouillés, encore moins de temps pour réagir et contenir une menace avant qu'il ne soit trop tard.

Le rapport affirme également que de plus en plus d’acteurs malveillants utilisent des techniques Living Off the Land (LOTL), qui utilisent des outils et des processus légitimes pour rester cachés dans les réseaux tout en atteignant ces objectifs. « Les incidents récents de clients de gangs de premier plan tels que LockBit, Akira et Medusa révèlent que la plupart des chaînes d’attaques de ransomware modernes sont désormais composées de techniques LOTL », indique-t-il.

Comment atténuer les risques de ransomware en 2024

Les attaques de chasse au gros gibier font peut-être la une des journaux, mais la vérité est que la plupart des victimes de ransomware sont techniquement des PME. Coveware affirme que la taille médiane au deuxième trimestre 2 n'était que de 2024 employés. Alors, comment ces organisations peuvent-elles espérer se défendre contre les attaques furtives la nuit et le week-end ?

« La seule solution est de s'assurer que ces actifs sont surveillés avec la même diligence à 1 heure du matin qu'à 1 heures », explique Mark Stockley, chercheur principal en matière de renseignement sur les menaces chez Malwarebytes, à ISMS.online.

« Cela peut être réalisé en dotant en interne un centre d'opérations de sécurité (SOC) qui fonctionne 24 heures sur 7 et XNUMX jours sur XNUMX. Mais pour la plupart des organisations, il est plus pratique et plus rentable de faire appel à un service tiers, comme Managed Detection and Response (MDR), ou de faire appel à un fournisseur de services gérés (MSP). »

À l’approche de l’ère DORA, de telles mesures seront de plus en plus nécessaires pour les organisations de services financiers et leurs fournisseurs. Une surveillance continue, une capacité de réponse aux incidents 24 heures sur 7 et XNUMX jours sur XNUMX, une planification rigoureuse de la continuité des activités et des tests réguliers seront tous nécessaires pour convaincre les régulateurs que la résilience est à un niveau approprié.

Stockley estime que les normes et cadres de bonnes pratiques comme la norme ISO 27001 peuvent aider les organisations à atteindre ce point.

« Comme toute norme ou cadre, la norme ISO 27001 est un moyen d’atteindre un objectif. Les organisations peuvent atteindre le niveau de sécurité de l’information dont elles ont besoin sans cette norme, mais les normes et les cadres peuvent servir de repères utiles pour les aider à y parvenir et à y rester », ajoute-t-il. « Le choix du cadre approprié dépend du niveau de maturité de l’organisation en matière de sécurité. En fin de compte, les cybercriminels ne se soucient pas des certifications que vous possédez ; ils se soucient uniquement de savoir s’ils sont arrêtés. »