Comment cela fonctionne-t-il ?
De bonnes sauvegardes de données peuvent vaincre les logiciels rançonneurs traditionnels. Si une organisation possède une autre copie de ses données, elle n'a pas besoin de payer pour obtenir une clé de déchiffrement pour les restaurer.
Le logiciel rançonneur surmonte ce défi en combinant le vol de données et le chiffrement de données. En volant des données et en menaçant de les divulguer si une rançon n’est pas payée, l’opérateur du logiciel rançonneur peut extorquer des rançons avec succès même si une organisation dispose de sauvegardes et pourrait autrement récupérer sans paiement.
Séquence d’attaque de Double Extorsion logiciel rançonneur
Le logiciel rançonneur ajoute des étapes supplémentaires à la chaîne d’attaque d’une infection par un logiciel rançonneur et comprend probablement les étapes suivantes :
- Accès initial : Le logiciel malveillant obtient un accès initial au réseau de l’entreprise, probablement via un poste de travail utilisateur.
- Mouvement latéral : Le logiciel malveillant se déplace à travers le réseau de l’entreprise vers une cible de plus grande valeur, telle qu’un serveur de base de données.
- Exfiltration de données : Le logiciel rançonneur exfiltre des informations sensibles vers l’attaquant avant d’effectuer des opérations de chiffrement très visibles.
- Chiffrement des données : Le logiciel malveillant crypte les fichiers sur les systèmes infectés.
- Demande de rançon : Le logiciel rançonneur demande une rançon pour décrypter les fichiers ou supprimer les données volées.
Risques et impacts potentiels
Une infection réussie par un logiciel rançonneur peut être extrêmement dommageable pour une organisation. Parmi les impacts les plus courants, citons les suivants :
- Pertes financières : Le logiciel de double extorsion rançonneur entraîne divers coûts potentiels pour l’entreprise. Outre les frais liés à la résolution de l'incident, l'entreprise risque de perdre des ventes lors de l'attaque et devra peut-être payer des sanctions légales et réglementaires.
- Atteinte à la réputation : Une attaque réussie de logiciel rançonneur peut nuire à la réputation et à l’image de marque d’une organisation. L'absence de protection des données des clients et la possibilité d'une interruption des services en raison de l'attaque peuvent entraîner une perte de clients ou obliger l'entreprise à dédommager les clients concernés.
- Perte de données : Certaines formes de double extorsion du logiciel rançonneur cryptent les données et les volent. Même si une organisation paie la rançon ou dispose de sauvegardes, il se peut que toutes les données ne soient pas récupérées.
- Pénalités réglementaires : Un groupe de logiciels rançonneurs qui vole des données sensibles est une violation de données à signaler. Une organisation peut être passible de sanctions réglementaires en conséquence.
Exemples de Double Extorsion logiciel rançonneur
De nombreux groupes de logiciels rançonneurs ont adopté la méthodologie de la double extorsion. Parmi les plus connues, citons :
- Labyrinthe : Le groupe Maze logiciel rançonneur a vu le jour en 2020 et a été le pionnier des attaques de logiciels rançonneurs à double extorsion.
- REvil : REvil est un groupe de logiciels rançonneur as a service (RaaS) qui a été détecté pour la première fois en 2019.
- DarkSide : DarkSide est un groupe RaaS né en 2020 et célèbre pour le piratage de Colonial Pipeline.
- BlackMatter : BlackMatter est apparu en 2021 et prétend succéder aux groupes REvil et DarkSide, qui n'existent plus.
- LockBit : LockBit a émergé en 2019 et est un RaaS qui utilise des logiciels malveillants auto-diffusés dans ses attaques.
Comment prévenir les attaques de rançonneur de logiciels de double extorsion
Voici quelques-unes des meilleures pratiques en matière de cybersécurité pour protéger l’organisation contre les attaques de logiciels rançonneurs :
- Formation de sensibilisation à la cybersécurité : De nombreuses variantes de logiciels rançonneur utilisent des attaques d’ingénierie sociale, telles que l’hameçonnage, pour accéder au réseau d’une organisation. Former les employés à identifier ces menaces et à y répondre de manière appropriée réduit le risque d'incident.
- Sauvegardes de données : Bien que le logiciel de double extorsion rançonneur intègre le vol de données, il peut également crypter des données précieuses. Les sauvegardes de données permettent à une organisation de restaurer ses données sans avoir à les chiffrer.
- Rapiéçage: Certaines variantes de logiciels rançonneur exploitent les vulnérabilités logicielles pour accéder aux ordinateurs et les infecter. L’application rapide de correctifs et de mises à jour peut aider à combler ces lacunes de sécurité avant qu’elles ne puissent être exploitées.
- Authentification forte de l’utilisateur : RDP et d’autres protocoles d’accès à distance sont couramment utilisés pour infecter les systèmes d’entreprise avec des logiciels rançonneur. Le déploiement d’une authentification forte, y compris l’authentification multifacteur (MFA), peut aider à empêcher les attaquants d’utiliser des informations d’identification compromises pour distribuer des logiciels malveillants.
- Segmentation du réseau : les groupes de logiciels rançonneurs auront souvent besoin de se déplacer latéralement à travers le réseau d’une organisation, du point d’infection initiale aux systèmes de grande valeur. La segmentation du réseau, qui divise le réseau en sections isolées, peut aider à détecter et à prévenir ce mouvement latéral.
- Solutions anti-logiciel rançonneur : le chiffrement de fichiers du logiciel rançonneur crée un modèle d’activité distinctif sur un ordinateur, et de nombreuses variantes ont des signatures connues. Les solutions anti-logiciels rançonneur peuvent identifier et bloquer ou remédier aux infections de logiciels rançonneur avant qu’elles ne causent des dommages importants à l’entreprise.
- renseignements sur les menaces : La connaissance des dernières campagnes d’attaques de logiciels rançonneur est précieuse pour s’en protéger. L’intégration des flux de renseignements sur les menaces aux solutions de cybersécurité leur permet d’identifier et de bloquer plus précisément les attaques de logiciels rançonneurs.
Prévenir les attaques du logiciel rançonneur avec le Point de contrôle
Les attaques de logiciels rançonneur à double extorsion constituent une menace importante pour les entreprises, car elles peuvent déjouer les sauvegardes en tant que défense contre les logiciels rançonneur. Pour en savoir plus sur la défense contre cette menace, consultez le Guide CISO sur la prévention des logiciels rançonneurs.
Le logiciel rançonneur est l’une des nombreuses cybermenaces auxquelles les organisations sont confrontées, comme le détaille le rapport sur la cybersécurité de Point de contrôle. Point de contrôle Harmony Endpoint offre une protection renforcée contre les logiciels rançonneur et autres menaces de Sécurité des postes. Pour en savoir plus sur la gestion de la menace Sécurité des postes pour votre entreprise, inscrivez-vous à une démo gratuite.