La montée des rançongiciels à double extorsion

Publié: 2022-01-11

Pendant des années, les entreprises ont dû faire face à la menace d'attaques de ransomwares. Les piratages rentables provoquent des ravages dans les fonctions quotidiennes d'une organisation, éteignent les appareils et volent des informations privées et particulières. En réponse, le savoir-faire technologique et les systèmes de prévention continuent d'évoluer, mais aussi les moyens utilisés par les criminels. Les 12 derniers mois ont vu une augmentation remarquable de la sélection de ces attaques, alors que les attaquants opportunistes se greffent sur les environnements de stabilité affaiblis de l'exploitation hybride. 30 à 7 % des entreprises des îles britanniques ont signalé un incident de violation de données au Data Commissioner's Office (ICO) cette année.

L'amélioration des approches et de la reconnaissance de la cybersécurité a obligé les attaquants à faire évoluer leurs procédures, se développant dans de nouveaux territoires d'entreprises qui rendent leurs démarches plus difficiles à réglementer. Les motivations des cybercriminels changent également, passant de la détention d'entreprises à une rançon pour de l'argent, à la perturbation aussi importante que possible, pour des facteurs politiques, comme des fermetures à grande échelle de services d'experts essentiels à la vie quotidienne.

Au cours de cette année civile, nous avons constaté un arrêt des produits et services pour Colonial Pipeline aux États-Unis grâce à une attaque de ransomware qui a poussé la société non publique à débourser 5 millions de dollars en Bitcoin pour reprendre la réglementation et continuer à proposer des solutions. Au cours du même mois, le gouvernement irlandais des services de santé a été mis sous pression pour verser une rançon de 20 millions de dollars en achat pour aider à sauver les informations de leurs patients susceptibles d'être rendues publiques. Même après qu'un arrangement ait été conçu, 520 informations se sont néanmoins retrouvées sur Internet, mettant encore plus en évidence l'imprévisibilité des criminels.

L'évolution des attaques de rançongiciels s'est considérablement accélérée ces dernières années. Désormais, au lieu de crypter les informations et de rançonner le propriétaire, le rançongiciel à double extorsion implique que l'attaquant exfiltre d'abord les informations et rend obsolètes les sauvegardes de données standardisées et les conceptions de restauration de données afin de forcer la main des entrepreneurs. Les criminels ont identifié une autre voie d'extorsion, et les entreprises veulent être prêtes à vaincre ce nouveau danger.

Qu'est-ce qu'un rançongiciel à double extorsion et quel est le risque réel ?

Les rançongiciels à double extorsion permettent aux criminels non seulement d'exiger des clients une rançon pour les données volées, mais aussi de les utiliser comme un faux gage pour les empêcher de rester rendus publics. Si la rançon n'est pas payée dans les délais requis, les criminels la publieront à la vue de tous, ainsi que des concurrents potentiels.

Ils menacent une campagne de marketing « nom et honte » de la communauté et/ou du client si vous ne payez jamais et, selon les recherches d'Emisoft, l'éventail des cybercriminels adoptant la tactique « nom et honte » s'élargit. L'exploration a révélé que sur 100 101 rapports d'attaques de ransomwares contre les entreprises et les organismes du secteur communautaire, 11,6 % de ces personnes appartenaient à des équipes qui volent et publient des données dans des attaques de style « name-and-shame ».

Il y a aussi un développement des logiciels criminels en tant que service par des acteurs étatiques, qui introduisent de plus en plus des tensions géopolitiques. Les États-pays achètent des équipements et des services d'experts sur le dark web, tandis que les instruments développés par les États-nations gagnent également leur place dans l'industrie noire.

Alors, comment les entreprises peuvent-elles surmonter ce risque croissant ?

Doublez le danger, doublez la préparation de la restauration nécessaire

Pour qu'un attaquant réussisse à extorquer une rançon, il doit d'abord s'assurer qu'il est impossible de récupérer des informations pratiques, sinon il risque que les décideurs ne parviennent pas à débourser. Ainsi, ils désactivent ou ruinent les sauvegardes, en les construisant sur des détails extrêmement difficiles à récupérer. Ensuite, ils convertissent leurs armes aux détails de fabrication disponibles.

En établissant une stratégie ciblée de gestion des informations compromises, les entreprises sont prêtes à augmenter leurs chances et à rendre la récupération des informations compromises beaucoup plus possible que si elles utilisaient une approche standardisée de restauration des informations. Les besoins en ransomwares n'ont en aucun cas été plus importants et la préparation d'un groupe nécessite de repenser les plans de restauration de données existants.

Pour faire face à ces difficultés récurrentes, les entreprises devront élaborer une stratégie pour les cinq méthodes les plus cruciales pour récupérer les informations endommagées :

Reconnaître ― Déterminer et justifier les informations vitales de l'organisation (VDA). C'est l'information qui a besoin d'un degré de sécurité supplémentaire. Ce sont les organisations qui devraient avoir des détails.
Sécurisé - Capacités pour augmenter les chances que vous ayez des détails récents parfaitement propres à restaurer, par exemple un doublon de sécurité qui est protégé contre une cyberattaque.
Détecter ― Déterminer les vulnérabilités des faiblesses de vos contrôles qui peuvent maximiser le risque d'atteinte de l'entreprise à ses VDA.
Réagir - Les plans, les procédures, les stratégies à suivre à la suite d'une partie compromettante de détails rentables.
Améliorez-vous ―Les répétitions, les évaluations et les routines qui préparent les équipes à cette éventualité.

Mettre en place un plan efficace

Toutes les entreprises sont exposées au risque d'attaques par ransomware. L'évolution rapide du paysage des dangers a remis en question les outils de détection actuels. Ils ne sont plus un moyen efficace de lutter contre toutes les agressions et d'éviter un énorme déclin des faits. Mis à part les acteurs de la menace extérieure, toutes les entreprises sont également en concurrence avec la possibilité de menaces intérieures, avec d'éventuels membres du personnel mécontents obtenant des accès privilégiés à l'intérieur de la communauté et des informations et des faits. La formation en cybersécurité a fait des pas de géant ces dernières années, mais l'erreur humaine continue de représenter un risque énorme pour les entreprises, notamment les personnes travaillant dans des environnements hybrides.

En fin de compte, il appartient à chaque entreprise individuelle d'avoir une vue d'ensemble et, en fonction de leurs points de vue uniques, de mettre en place un système de récupération d'informations. L'importance d'une attaque de ransomware classique ne peut tout simplement pas être sous-estimée, mais les pièges associés aux nouvelles tactiques sont indéniablement beaucoup plus importants pour les petites entreprises. La réputation de marque détruite et la croyance endommagée de l'acheteur peuvent généralement être irréparables. Avant de permettre aux criminels opportunistes de choisir de garder une entreprise, les chefs de petites entreprises doivent accélérer l'organisation complète sur le protocole et travailler attentivement avec l'administration gouvernementale sur laquelle les données doivent être la priorité tout au long d'une mission de restauration. À ce stade, les entreprises peuvent commencer à se sentir protégées que leurs données, leurs biens et leurs infrastructures resteront intacts même en cas d'adversité.

Chris Huggett, SVP EMEA, Fournisseurs de disponibilité Sungard