Le logiciel Rançonneur est une menace croissante pour la sécurité des réseaux d’entreprise. Au troisième trimestre 2020, Recherche aux Check Point a fait état d’une augmentation de 50 % de la moyenne quotidienne des attaques de logiciels rançonneurs par rapport au premier semestre de l’année.
Bien que le logiciel rançonneur existe depuis des décennies, il n’est devenu célèbre qu’avec l’attaque WannaCry de 2017 contre le logiciel rançonneur. D’autres cybercriminels, constatant le succès de WannaCry, ont développé leurs propres variantes de logiciels rançonneur et lancé leurs propres campagnes d’attaque. Maze est l’une de ces nouvelles variantes de logiciels rançonneur. Elle existe depuis plusieurs années, mais elle est entrée dans l'histoire en lançant la « double extorsion » de rançon en 2019.
Dans le passé, les logiciels rançonneur fonctionnaient sur un modèle économique simple : crypter les fichiers des gens, puis exiger une rançon s’ils voulaient en retrouver l’accès. Cependant, cette approche ne fonctionne que si la cible paie la rançon. Certaines victimes de logiciels rançonneurs ont pu restaurer à partir de sauvegardes, tandis que d’autres ont accepté la perte et ont adopté une approche « ne nourrissez pas les animaux » pour les opérateurs de logiciels rançonneur.
En raison de la baisse de son chiffre d’affaires, le groupe Maze logiciel rançonneur a décidé de modifier sa stratégie, combinant une attaque classique de logiciel rançonneur et une violation de données au sein d’une même campagne. Ils accédaient au réseau d’une organisation, volaient une grande quantité d’informations sensibles, puis chiffraient tout. Si la cible refusait de payer la rançon, le groupe Maze menacerait de révéler publiquement ses données volées ou de les vendre au plus offrant.
Cette approche a augmenté les chances de succès de Maze, car la publication de données volées peut faire perdre à une organisation un avantage concurrentiel (si des informations de propriété intellectuelle et des secrets commerciaux sont révélés à un concurrent) et potentiellement enfreindre les réglementations en matière de protection des données (en raison de la perte de données clients protégées par le RGPD, le CCPA, etc.).
À un niveau élevé, Maze n’est pas différent de n’importe quelle autre variante de logiciel rançonneur. Tous profitent du fait que les algorithmes de chiffrement utilisés aujourd’hui sont incassables avec la technologie moderne. Si les données sont cryptées, seule la personne possédant la clé de déchiffrement correspondante (dans ce cas, le groupe Maze) peut accéder aux données d'origine. Par conséquent, tout ce que le logiciel rançonneur a à faire est de chiffrer les fichiers, de supprimer les originaux et les sauvegardes, et de s’assurer que la seule copie de la clé de chiffrement est envoyée aux opérateurs du logiciel rançonneur.
Malgré cela, toutes les variantes et campagnes de logiciels rançonneur ne sont pas identiques. L’une des différences entre les variantes du logiciel rançonneur réside dans le choix du vecteur d’infection initial et la façon dont elles se propagent dans le réseau. Maze obtient généralement l’accès via des e-mails d’hameçonnage, puis utilise une variété de techniques différentes pour se déplacer latéralement sur le réseau, ce qui lui permet d’infecter davantage de machines.
Enfin, Maze se distingue des autres logiciels rançonneurs par le fait qu’il a été le pionnier de la stratégie de la « double extorsion » susmentionnée. Alors que d’autres groupes de logiciels rançonneurs ont suivi leurs traces, le groupe Maze a été le premier à voler les données de leurs machines cibles, puis à chiffrer les données.
Dans le passé, les logiciels rançonneur se concentraient sur le refus d’accès aux fichiers des utilisateurs. Cela a été fait en chiffrant les fichiers puis en demandant une rançon pour la clé de déchiffrement. Avec ces variantes originales de logiciels rançonneurs, un certain nombre d’options existaient pour s’en protéger. Le simple fait de disposer d’une sauvegarde sécurisée des données, à partir de laquelle les fichiers cryptés pouvaient être restaurés une fois l’attaque terminée, suffisait à atténuer les impacts du logiciel malveillant.
Pour Maze, restaurer à partir d'une sauvegarde ne suffit pas. Dans le cadre de son attaque, Maze vole des données que le cybercriminel menace de divulguer si la rançon n'est pas payée. Pour éliminer le risque d’une violation de données et les sanctions réglementaires et juridiques associées, une organisation doit détecter et bloquer l’attaque de Maze logiciel rançonneur avant qu’elle ne puisse faire ses dégâts.
C’est là que le réseau SandBlast et l’agent SandBlast de Check Point entrent en jeu. SandBlast aide une organisation à faire face à chaque étape d’une attaque de ransomware du logiciel Maze :
Maze est une variante sophistiquée du logiciel rançonneur ; Cependant, cela ne signifie pas qu’il est impossible de le détecter et de le vaincre. Check Point a publié une vidéo démontrant comment Maze peut être détecté par la chasse aux menaces à l’aide du framework MITRE ATT&CK.
La gamme de produits SandBlast de Check Point est parfaitement adaptée à la protection des organisations contre les attaques de ransomware de Maze logiciel. Essayez par vous-même la protection postale de Check Point avec un essai gratuit de SandBlast Agent. Au niveau du réseau, découvrez Maze logiciel rançonneur protection avec une démonstration de SandBlast Network.