Des cybercriminels spécialisés dans les attaques de ransomware contre les entreprises

0

Les chercheurs de Kaspersky Lab ont découvert une tendance émergente et pour le moins alarmante : un nombre croissant de cybercriminels délaisse les attaques menées contre les utilisateurs privés, pour cibler les entreprises par le biais de ransomwares. Au moins huit groupes de cybercriminels impliqués dans le développement et la distribution de cryptoransomware ont ainsi été identifiés. Les attaques ont essentiellement frappé des organisations financières du monde entier. Selon les experts de Kaspersky Lab, la demande de rançon peut dépasser 500 000 dollars.

Parmi les huit groupes identifiés par Kaspersky Lab figurent les auteurs de PetrWrap qui ont attaqué des organisations financières partout dans le monde, le tristement célèbre groupe Mamba, et six groupes non identifiés qui visent également des utilisateurs professionnels. Il est intéressant de noter qu’après avoir mené des attaques principalement focalisées sur des particuliers et utilisé le modèle des programmes d’affiliation, ces six groupes semblent recentrer leurs actions sur les réseaux d’entreprise.

Selon les chercheurs de Kaspersky Lab, la raison de cette nouvelle tendance est claire : les demandes de rançons visant les entreprises seraient potentiellement plus rentables que les attaques menées en masse contre des utilisateurs privés. En effet, une attaque par ransonware fructueuse peut facilement entraîner l’indisponibilité des processus métier d’une entreprise pendant plusieurs heures, voire plusieurs jours, de sorte que les dirigeants concernés seront davantage enclins à verser la somme exigée.

En règle générale, les tactiques, techniques et procédures utilisées par ces groupes sont similaires : ils profitent de la vulnérabilité des serveurs ou procèdent à une attaque de phishing pour infecter l’entreprise ciblée avec un malware. Ensuite, ils établissent une « persistance » dans le réseau de leur victime et identifient les précieuses ressources de l’entreprise en vue de les chiffrer et de les rendre inopérantes dans l’attente du versement de la rançon. Au-delà de leurs similitudes, certains groupes présentent des caractéristiques spécifiques.

C’est le cas du groupe Mamba qui utilise son propre malware de chiffrement, basé sur le logiciel Open Source DiskCryptor. Après avoir pris pied dans le réseau de l’entreprise, les attaquants installent le logiciel de chiffrement en utilisant un utilitaire légal pour prendre le contrôle de Windows à distance. Grâce à cette approche, les actions semblent moins suspectes aux yeux des agents de sécurité de l’entreprise visée. Les chercheurs de Kaspersky Lab ont découvert des cas où le montant de la rançon s’élevait à un bitcoin par point d’accès déchiffré (soit approximativement 1 000 dollars à fin mars 2017).

PetrWrap utilise également des outils particuliers pour mener ses attaques ciblées de ransomware. Ce groupe privilégie les grands comptes avec un nombre élevé de nœuds réseau. Il choisit soigneusement la cible de chaque attaque dont la durée est variable et la persistance dans le réseau peut atteindre 6 mois.

« Les attaques ciblées par ransomware sont une menace croissante qui provoque des pertes financières significatives pour les entreprises. Cette tendance est extrêmement préoccupante, dans la mesure où ces cybercriminels ont lancé une croisade contre de nouvelles victimes encore plus rentables. Les cibles potentielles sont très nombreuses, et les attaques qu’elles subiront auront des conséquences encore plus désastreuses », a déclaré Anton Ivanov, chercheur senior en sécurité, spécialisé dans la lutte contre les ransomware chez Kaspersky Lab.

Evita-ataques-ransomware-con-Altcomp

Pour se protéger contre ces attaques, les experts en sécurité de Kaspersky Lab recommandent aux entreprises de suivre les conseils suivants :

  • Sauvegardez soigneusement et régulièrement vos données de façon à pouvoir revenir aux fichiers originaux en cas de perte de données.
  • Utilisez une solution de sécurité dotée de technologies de détection comportementale. Celles-ci sont capables d’intercepter des malwares, y compris des ransomwares, en surveillant la façon dont ils opèrent sur le système attaqué afin de repérer les échantillons malveillants nouveaux et encore inconnus.
  • Visitez la plate-forme No More Ransom, une initiative collective qui a pour mission d’aider les victimes de ransomware à récupérer leurs données chiffrées sans avoir à payer les cybercriminels.
  • Vérifiez les logiciels installés, non seulement sur les endpoints, mais également sur tous les nœuds et serveurs du réseau en procédant régulièrement à leur mise à jour.
  • Procédez à une évaluation de sécurité du réseau de contrôle (audit de sécurité, test de pénétration, analyse des lacunes, etc.) afin d’identifier et d’éliminer toute faille. Passez en revue les règles de sécurité des fournisseurs et prestataires externes dans l’éventualité où ceux-ci ont un accès direct au réseau de contrôle.
  • Sollicitez des informations de veille auprès d’acteurs réputés qui aident les entreprises à anticiper de futures attaques à leur encontre.
  • Formez votre personnel, en particulier dans le domaine opérationnel et technique, afin de le sensibiliser aux menaces et attaques récentes.
  • Assurez une protection à l’intérieur et à l’extérieur du périmètre. Une stratégie de sécurité appropriée doit consacrer d’importantes ressources à la détection et au traitement des attaques afin de les bloquer avant qu’elles n’atteignent des systèmes critiques.

About Author

Globb Security France

Leave A Reply