Comment la cybersécurité évolue dans l’ère post-pandémique

Par Liam O’Murchu, Directeur, Technologie de sécurité et réponse

Ces dernières années ont été tout sauf normales pour tout le monde. Comme nous le savons à Logiciel Broadcomalors même que les entreprises essaient de mettre quelques années anormales dans leur rétroviseur, le déchaînement des ransomwares continue de faire des ravages et nécessite une concentration et une diligence continues.

La menace de rançongiciel domine désormais toutes les discussions sur la sécurité que j’ai avec les clients. Leurs inquiétudes sont justifiées : les gangs de rançongiciels sont plus sophistiqués, déterminés et désireux que jamais d’obtenir d’énormes paiements de rançon. Ils déploient également des tactiques étonnamment créatives. L’époque où l’on se contentait de chiffrer ou de voler des fichiers est révolue. Désormais, les méchants divulguent des informations volées pour exercer une pression supplémentaire sur leurs victimes.

Le but : une GROS paiement. Par exemple, un gang de rançongiciels a révélé publiquement la liaison d’un PDG, accompagnée d’images incriminantes. Un autre gang a vendu aux enchères les fichiers de l’entreprise au plus offrant, avec CNA Financial Corp. aurait payé 40 millions de dollars pour reprendre le contrôle de son réseau.

Pendant ce temps, les attaquants utilisent différentes techniques pour pénétrer les réseaux d’entreprise. Au cours de la dernière année, il y a eu une évolution prononcée vers les analyses de masse d’Internet pour rechercher les vulnérabilités publiées des serveurs afin d’accéder aux environnements d’entreprise. C’est en partie en réponse aux vulnérabilités logicielles publiées dans ces serveurs. Mais c’est aussi un rappel important que les attaquants sont implacables dans leur poursuite de cibles nouvelles et plus faciles.

Ils travaillent également plus dur pour échapper aux mesures défensives lorsqu’ils arrivent sur un terminal. Traditionnellement, les attaquants déposaient simplement leur logiciel malveillant sur le terminal et l’exécutaient. Récemment, nous avons rencontré un cas où les attaquants avaient installé une boîte virtuelle sur le terminal, puis téléchargé une image disque. Lorsque la machine virtuelle a démarré, le logiciel malveillant n’était chargé qu’à l’intérieur de la machine virtuelle. La machine virtuelle avait des dossiers partagés avec l’hôte, de sorte que lorsque le ransomware s’exécutait à l’intérieur de la machine virtuelle, il était capable de chiffrer les fichiers.

Lorsque les attaquants pénètrent dans la défense d’une entreprise, ils reconnaissent désormais qu’ils n’ont plus besoin de chiffrer chaque machine d’un réseau. Au lieu de chiffrer 10 000 ordinateurs, ils peuvent choisir de prendre en charge le contrôleur de domaine, les serveurs ESX et les machines virtuelles et chiffrer les images des machines virtuelles. Cette stratégie a porté ses fruits pour les méchants, car plus de quelques entreprises ont accepté de payer des rançons pour reprendre le contrôle et éviter les tracas liés à la réimagerie de toutes leurs machines.

Symantec par Broadcom Software

Choisir ses victimes

Au fil des ans, l’attaquant clandestin a changé sa façon d’aborder la sélection des cibles. Dans le passé, nous avons vu un ciblage beaucoup plus aveugle – en gros, les gangs s’en prenaient à tous ceux qu’ils pouvaient dans le but de se frayer un chemin dans les entreprises.

Dans l’ère post-pandémique, les attaquants évaluent de plus près leurs cibles pour calculer le retour sur leur temps. Donc, ils enquêtent sur la valeur d’une entreprise ? Est-elle cotée en bourse ? Combien d’argent ont-ils en main? Essentiellement, ce travail de reconnaissance avancé informe qui fait la liste et aide à déterminer le montant de la rançon que les attaquants exigeront des victimes.

Menaces transnationales

Alors que les entreprises cherchent à renforcer leurs défenses, elles doivent savoir à qui elles sont confrontées. Bien que les attaques de ransomwares puissent provenir de n’importe où, les sociétés de sécurité et les agences gouvernementales ont trouvé des preuves reliant de nombreuses attaques à la Russie.

La nature des relations entre ces gangs de rançongiciels et le gouvernement russe est opaque, mais la persistance de l’activité suggère, au minimum, une indifférence du gouvernement aux impacts sur les infrastructures critiques et les industries clés d’autres pays ou, au pire , complicité directe du gouvernement sinon parrainage, mais avec une certaine mesure de déni.

Même avant l’invasion de l’Ukraine, les nations occidentales avaient peu de chance de convaincre les autorités russes de sévir contre les gangs de rançongiciels opérant dans leur juridiction. Maintenant, il y a encore moins de chances de progrès réels.

Récupération de vos données

Une fois qu’une attaque a lieu, les options sont limitées. Les équipes de ransomware disposent d’un mécanisme de cryptage sécurisé que les sociétés de sécurité ne peuvent pas casser. Ainsi, lorsqu’une entreprise est victime, elle est confrontée à une décision impossible : fermer ou payer ? Souvent, la direction juge qu’il est dans l’intérêt de l’entreprise d’adhérer. Mais rien ne garantit que les attaquants ne reviendront pas un mois plus tard et ne rançonneront pas à nouveau leurs données.

Si une organisation a la chance d’isoler le ransomware, elle peut restaurer ses systèmes à l’aide de sauvegardes hors ligne que l’équipe du ransomware n’a pas supprimées ni corrompues. Mais même avec des sauvegardes, le processus de restauration des données est lourd et prend du temps. Certaines organisations peuvent conclure qu’il est préférable de payer la rançon.

Assistance de niveau C

Si vous cherchez un rayon de soleil, c’est celui-ci : la cybersécurité fait désormais partie de la conversation au niveau C. Ce n’était pas nécessairement le cas avant la pandémie, bien que les piratages très médiatisés de ces dernières années aient souligné les dommages potentiels à la réputation et aux résultats d’une entreprise.

Les pires scénarios ne manquent pas. Pour ne prendre qu’un exemple, Colonial Pipeline Co., qui exploitait le plus grand pipeline de carburant aux États-Unis, a subi un arrêt de six jours l’année dernière après une attaque du gang russe des rançongiciels – Côté obscur. Le résultat : des prix plus élevés, des stations-service sans carburant et critique des normes de sécurité des pipelines de l’entreprise après le piratage.

C’est pourquoi la cybersécurité n’est plus difficile à vendre lorsque le CISO présente au conseil d’administration. Si, au cours des années précédentes, la cybersécurité était considérée avec scepticisme comme un coût important, elle est désormais considérée comme de l’argent bien dépensé. Même si les rançongiciels finissent par disparaître, nous avons dépassé un Rubicon numérique en ce qui concerne la manière dont la sécurité est financée et priorisée dans le monde de l’entreprise.

Contactez-nous ici pour en savoir plus sur la manière dont Broadcom Software peut vous aider dans votre stratégie de cybersécurité.