L'abécédaire des sociétés anonymes Groupe Ransom
Le groupe Inc. Le groupe Ransom est apparu pour la première fois en juillet 2023. En septembre de la même année, ils avaient annoncé publiquement avoir réussi à infiltrer jusqu'à 12 victimes, un chiffre qui a aujourd'hui considérablement augmenté.
Inc. Le rançongiciel dispose d'un blog basé sur TOR où il publie régulièrement des informations relatives à ses cyberincidents réussis. Les blogs précédents ont évoqué les victimes touchées par le logiciel rançonneur et les volumes de données qu'il a réussi à exfiltrer de chaque entreprise.
Méthodes d'attaque
Voici un exemple de parcours type Inc. Les rançongiciels suivent pour pénétrer dans les systèmes des entreprises :
- Accès initial : Inc. Les rançongiciels ciblent les vulnérabilités dans les services aux entreprises, comme la CVE-2023-3519 dans Citrix NetScaler, ou une série de campagnes de harcèlement visant à compromettre les informations d'identification des utilisateurs.
- Analyse du système : Une fois que les acteurs de la menace ont accès aux systèmes d'une entreprise, ils utilisent le compte compromis pour effectuer plusieurs formes d'analyse du système. Ils rechercheront d'autres vulnérabilités dans l'écosystème, en analysant le réseau, les domaines et les autres appareils connectés au réseau.
- Inspection des données : En utilisant des comptes compromis, le groupe inspectera les documents, les images et le contenu des dossiers pour s'assurer que le système contient des données de valeur.
- Extraction supplémentaire : Utilisation de lsassy.y et d'autres outils natifs, Inc. Le rançongiciel extrait ensuite les autres identifiants de connexion disponibles et accède à plusieurs systèmes, réseaux et comptes de l'entreprise.
- logiciel rançonneur déploiement : Une fois que le groupe a eu accès à de nombreux appareils et systèmes dans une entreprise, il déploie des charges utiles qui installent le logiciel rançonneur sur ces postes. Le logiciel rançonneur crypte les documents et interdit l'accès aux entreprises, Inc. Ransom s'appuie sur l'automatisation pour prendre rapidement le contrôle des systèmes de données à l'échelle de l'entreprise.
Les charges utiles du groupe Inc. Les charges utiles du groupe Ransom prennent en charge divers arguments de ligne de commande et utilisent une approche multithreading pour crypter les données des utilisateurs.
Les cibles typiques du programme Inc. Groupe Ransom
Les menaces du logiciel rançonneur tendent à se concentrer sur deux groupes principaux :
- Petites et moyennes entreprises
- Organisations d'entreprises
Dans le premier cas, la valeur totale des données exfiltrées est probablement moindre, mais les défenses sont également moins nombreuses.
Au contraire, les entreprises disposent généralement de solutions de défense de la cybersécurité étendues, mais leurs données sont beaucoup plus précieuses. Parmi ces deux groupes, Inc. Ransom se concentre principalement sur ce dernier point. Ils ont tendance à cibler les grandes entreprises multinationales dans des secteurs d'activité à forte valeur ajoutée, tels que l'informatique :
La majorité des attaques d'Inc. Ransom se concentre sur les entreprises d'Amérique du Nord, d'Europe et, dans une moindre mesure, d'Australie. Les principaux secteurs d'activité en termes de nombre de victimes sont les services professionnels, l'industrie manufacturière, la construction et les soins de santé.
Stratégies de prévention et d'atténuation pour Inc. Groupe Ransom
Voici quelques-unes des meilleures pratiques pour prévenir et atténuer la menace du logiciel rançonneur d'Inc. Ransom et d'autres menaces de logiciel rançonneur.
- Identifier les signes d'attaque : Surveillez votre réseau et vos systèmes et recherchez des indicateurs potentiels de compromission. Si vous remarquez des signatures de menaces, des activités suspectes ou des interactions de fichiers étranges, essayez d'isoler ces zones le plus rapidement possible.
- Testez la pénétration de vos systèmes: Des tests de pénétration et de red team réguliers permettront à votre entreprise d'identifier les vulnérabilités de votre système le plus tôt possible. Si vous êtes en mesure d'identifier et de neutraliser les vulnérabilités avant que des groupes comme Inc. Ransom les trouvent, vous pourrez assurer la sécurité de votre entreprise.
- Offrez une formation au personnel : Inc. Ransom utilise le spear-hameçonnage pour voler les informations d'identification des cadres et autres employés. En proposant une formation obligatoire au hameçonnage et à la prévention du logiciel rançonneur, vous contribuez à limiter la possibilité que le logiciel rançonneur s'introduise dans votre système par le biais de comptes compromis.
- Utilisez un logiciel anti-logiciel rançonneur : En raison des marqueurs de menace typiques que les attaques du logiciel rançonneur peuvent laisser derrière elles, il existe de nombreux outils anti-logiciel rançonneur efficaces que vous pouvez utiliser pour assurer votre sécurité. Le déploiement de solutions de protection du logiciel rançonneur vous aidera à maintenir votre poste aussi sûr que possible, contribuant ainsi à la sécurité en ligne de l'ensemble de votre système.
- Élaborer un plan de réponse aux menaces: Même si vous appliquez toutes les meilleures pratiques et que vous utilisez la meilleure solution de cybersécurité au monde, il y a toujours un risque que le logiciel rançonneur s'introduise dans votre système. Prévoir cette éventualité, aussi improbable soit-elle, en élaborant un plan pour supprimer le logiciel rançonneur de votre système et protéger les fichiers sensibles vous permettra d'accélérer la mobilisation d'une stratégie de cyberdéfense en cas d'attaque.
- Créez des sauvegardes régulières : Votre entreprise doit régulièrement créer des sauvegardes des données de votre système. Si possible, créez plusieurs copies différentes et stockez-les sur des réseaux isolés. Par exemple, vous pouvez stocker une version sur un support local, une autre sur le site cloud et une troisième auprès d'un tiers sécurisé. Les sauvegardes vous permettent de restaurer les données de votre entreprise et de continuer à travailler lorsqu'une menace logiciel rançonneur est active dans votre entreprise.
logiciel rançonneur Protection avec Check Point
Le groupe Inc. constitue une menace sérieuse pour les entreprises modernes, en particulier celles qui n'ont pas mis en place des bases solides en matière de cybersécurité et qui n'ont pas investi dans la formation de leurs employés à la sécurité. Une fois que le groupe a accédé à vos systèmes, il devient beaucoup plus difficile de mettre en place une défense efficace.
Une couche de sécurité préventive et des solutions cybernétiques proactives sur l'ensemble de votre surface d'attaque contribueront à réduire les possibilités d'entrée d'Inc. Ransom et d'autres logiciels rançonneurs. Check PointLa solution Anti-logiciel rançonneur offre une couverture logicielle rançonneur sophistiquée à l'échelle de l'entreprise. Dans le cadre de Harmony Endpoint, Check Point offre une protection complète des postes, en utilisant l'automatisation et des stratégies de cybersécurité de pointe pour assurer la sécurité de votre entreprise.
Découvrez comment Check Point peut protéger votre entreprise contre le logiciel rançonneur en réservant une démonstration gratuite.