Selon le rapport 2020 de Verizon sur les violations de données, le ransomware est la troisième attaque de logiciels malveillants la plus fréquente. La preuve en a été apportée le 4 octobre, lorsque Universal Health Services (UHS), un fournisseur de services hospitaliers et de soins de santé figurant au classement Fortune 500, a interrompu les systèmes de différents établissements de soins de santé aux États-Unis à la suite d'une cyberattaque qui a touché son réseau interne.
Une attaque dans le domaine de la santé, quelle qu'elle soit, peut être mortelle, surtout dans le contexte actuel de la pandémie. Il s'agit d'une autre cyberattaque récente qui se termine par l'arrêt de l'infrastructure IT en raison d'une attaque par ransomware. Dans ce cas, UHS redirige certains patients vers des hôpitaux voisins.
Cependant, de nombreuses personnes ne savent pas que l'activation du ransomware n'est que l'étape finale d'une attaque. Avant l'exécution, il y a de nombreuses phases et possibilités d'arrêter l'attaque.
Qu'est-ce qu'un ransomware ?
Un ransomware est un logiciel malveillant conçu pour empêcher l'utilisation des fichiers du système informatique en exigeant le paiement d'une rançon. La plupart des variantes de ransomware chiffrent les fichiers sur l'appareil affecté, les rendant indisponibles et exigeant le paiement d'une rançon pour en rétablir l'accès.
Le code des ransomwares est souvent sophistiqué, mais il n'a pas besoin de l'être car, contrairement à d'autres formes de logiciels malveillants conventionnels, il n'a généralement pas besoin de passer inaperçu pendant longtemps pour atteindre sa cible. Cette relative facilité de mise en œuvre par rapport au potentiel de profit élevé attire à la fois des acteurs sophistiqués de la cybercriminalité et des acteurs novices pour mener des campagnes de ransomware.
"Dans 7 % des discussions sur les ransomwares trouvées sur les forums criminels et les places de marché, le terme "service" est mentionné, ce qui suggère que les attaquants n'ont même pas besoin d'être en mesure de faire le travail eux-mêmes. - 2020 Data Breach Investigations Report, p. 16.
Les rançongiciels sont tellement populaires qu'il existe des services que vous pouvez acheter et qui se chargent de la mise en œuvre pour le compte du cybercriminel. Avec un marché aussi florissant, les ransomewares et les services de ransomewares ne peuvent que se développer.
Comment les rançongiciels s'introduisent-ils dans le réseau ?
L'approche la plus courante pour un pirate de diffuser des fichiers malveillants consiste à exploiter des erreurs humaines courantes telles que les attaques par hameçonnage, où le pirate envoie un courriel qui semble légitime, mais qui encourage la personne à cliquer sur des liens ou à télécharger une pièce jointe. La pièce jointe est souvent porteuse d'une charge utile qui délivre le logiciel malveillant. Les attaquants ont tendance à exploiter des interfaces exposées telles que RDP ou des applications web non corrigées. Les ransomwares sont également diffusés sur des sites web compromis ou malveillants, par le biais d'attaques de type "drive-by-download". Certaines attaques par ransomware ont également été envoyées par le biais de messages provenant de médias sociaux.
Habituellement, les ransomwares sont utilisés dans le cadre d'une approche de type "shotgun", où les attaquants acquièrent des listes d'adresses électroniques ou des sites web compromis et diffusent des ransomwares.
Se protéger contre les ransomwares
Il existe plusieurs étapes pour arrêter les logiciels malveillants au cours du cycle de vie de l'attaque. La première étape consiste à empêcher l'entrée dans le réseau ; la deuxième étape pour arrêter un ransomware (en supposant qu'il ne soit pas autonome) consistera à l'empêcher de communiquer avec le serveur de commande et de contrôle (C2) ; la troisième étape consistera à l'arrêter immédiatement après le début de son exécution et avant qu'il ne se déplace latéralement à l'intérieur du réseau.
La première étape - empêcher les logiciels malveillants de pénétrer dans le réseau - est la plus importante. Les attaquants tentent généralement d'utiliser des techniques d'hameçonnage ou de tirer parti de connexions d'accès à distance non sécurisées, telles que des connexions RDP mal configurées et des terminaux qui ne sont pas conformes à la politique de l'entreprise. Ces dispositifs peuvent permettre au ransomware de se greffer sur la connexion à l'organisation du réseau.
La deuxième étape - empêcher les logiciels malveillants de communiquer avec un C2 - est généralement réalisée par la mise en place d'un pare-feu et d'un système de détection basé sur le réseau pour rechercher des signatures de réseau.
La troisième étape, qui consiste à empêcher le ransomware d'être activé et de se propager dans le réseau, est à ce stade beaucoup plus compliquée et exige beaucoup de ressources.
OPSWAT offre des solutions préventives qui vous permettent de vous défendre contre les attaques. Nos solutions aident les organisations à empêcher les logiciels malveillants de pénétrer dans les réseaux, comme la solution de sécurité de la passerelle de messagerie pour empêcher le phishing, la solution d'accès sécurisé pour aider à la validation de la conformité, et la solution d'accès sécurisé pour empêcher les logiciels malveillants de pénétrer dans les réseaux.
qui exécute Deep CDR (Content Disarm and Reconstruction) à l'aide d'un système de sécurité pour le téléchargement de fichiers. MetaDefender Core. Ce ne sont là que quelques-uns des nombreux produits qu'OPWAST propose pour aider à protéger les réseaux d'infrastructures critiques contre les ransomwares. Pour plus d'informations, contactez-nous dès aujourd'hui.
Références
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
