Les ransomwares bientôt racketteurs ? Joseph Carson, Chief Security Scientist (CSS) et RSSI consultatif chez ThycoticCentrify, l’envisage dans cet avis d’expert écrcit pour Solutions Numériques.
Les ransomwares sont une industrie criminelle qui représente un marché de plusieurs milliards de dollars et dont le modèle économique connaît des innovations majeures. La grande nouveauté de ces dernières années a été le RaaS (Ransomware as a Service), consistant pour les cybercriminels à se comporter comme des éditeurs légitimes louant leurs logiciels et leurs services.
Certains groupes cybercriminels proposent des « services d’assistance » qui collectent les royalties, négocient le montant des rançons demandées ou encore aident les victimes à acheter des cryptomonnaies ou à déchiffrer leurs données. D’autres opèrent selon un modèle d’affiliation dans lequel ils déploient le ransomware, perçoivent les rançons auprès de leurs victimes et en reversent un pourcentage au créateur du logiciel.
Pourtant, en dépit des atours SaaS dont se pare le RaaS, le principe fondamental des ransomwares n’en reste pas moins identique : des criminels s’attaquent à une victime puis exigent de l’argent pour lui rendre la maîtrise de ses données et systèmes. Nous avons enregistré des demandes de rançon d’un montant record en 2021, à l’exemple de REvil réclamant 70 millions de dollars pour mettre fin à son attaque contre Kaseya. Même si l’ampleur des butins et l’audace des demandes vont croissant, le modèle économique demeure relativement inchangé.
Or nous nous attendons à voir cette situation évoluer. En 2022, il est vraisemblable que nous assistions à l’essor d’un modèle qui pourrait être qualifié de ransomware sous forme d’abonnement, dans lequel les entreprises se font racketter et doivent verser une somme d’argent en échange de la garantie de ne pas être ciblées ou de ne pas voir des variants de ransomware se lancer dans leur environnement. Cela va profondément transformer la nature des ransomwares en apportant aux cybercriminels une source régulière de revenus. Le risque pourrait aussi être pour les entreprises d’enfreindre la loi. En effet, l’administration américaine travaille actuellement sur une législation qui pourrait interdire les versements de rançons ou du moins imposer aux entreprises de les déclarer.
Le conseil face aux ransomwares a toujours été simple : ne pas payer. La même consigne vaut pour le ransomware sous forme d’abonnement. Si les entreprises commencent à céder au racket, les criminels seront incités à cibler un plus grand nombre de victimes. C’est pourquoi il faut faire preuve de réactivité et de fermeté afin de neutraliser la menace des ransomwares avant qu’elle ne prenne une forme encore plus agressive et lucrative.
Vérifier vos accès à privilège
Pour réduire les risques d’extorsion, les entreprises doivent améliorer leur résilience aux ransomwares. Un point de départ utile dans cette optique consiste à vérifier les privilèges attribués à chaque utilisateur. Dès lors qu’un collaborateur peut lire des e-mails, ouvrir des documents, naviguer sur Internet, cliquer sur des liens ou connecter un périphérique USB, il est susceptible d’être à l’origine d’une attaque de ransomware.
Si cet utilisateur possède des droits d’administrateur local non gérés sur son poste de travail, il peut installer et exécuter toute application, quelle qu’en soit la source. Par conséquent, en cas de prise de contrôle du poste par un cybercriminel, celui-ci peut faire de même et implanter rapidement des outils infectieux ou malveillants pour accéder aux données et au réseau de l’entreprise.
Lorsqu’une attaque peut paralyser toute une entreprise en ciblant un seul de ses collaborateurs, cela pose problème. Il est facile de trouver des informations open source sur les réseaux sociaux ou d’acheter des identifiants sur le Dark Web. Ces éléments permettent de créer un message de phishing qui dupera au moins une personne pour ouvrir une brèche dans les défenses et faire pénétrer un ransomware dans le réseau. En pareil cas, de nombreuses entreprises vont tout simplement capituler et accepter de payer des rançons, s’exposant ainsi à un racket récurrent à l’avenir.
Limiter l’effet de souffle
Malheureusement, les solutions de cybersécurité classiques se révèlent inefficaces pour bloquer les attaques de ransomwares. Ainsi, les antivirus à base de signatures sont souvent incapables de prévenir et détecter ces types d’attaques en raison de l’apparition de variants distincts et à mutation rapide. Les défenses traditionnelles telles que le chiffrement des données ne parviennent pas non plus à dissuader les cybercriminels.
Afin de restreindre le risque des ransomwares, les entreprises doivent faire en sorte que la faille d’un seul système n’offre pas un accès à privilèges illimité à l’ensemble d’un environnement informatique. La segmentation du réseau, les solutions de détection des menaces et la gestion des accès à privilèges (PAM) sont trois moyens permettant d’éviter la création d’un pivot et les mouvements latéraux à l’intérieur du réseau.
Au minimum, toutes les entreprises doivent adopter les meilleures pratiques et approches de sécurité préconisées par la CISA (Cybersecurity & Infrastructure Security Agency), l’agence fédérale responsable de la cybersécurité et des infrastructures de communications aux Etats-Unis et par le MS-ISAC (Multi-State Information Sharing & Analysis Center). Il s’agit notamment de recommandations élémentaires, portant par exemple sur la sauvegarde des données critiques, l’application des correctifs de sécurité aux systèmes, une bonne hygiène en matière de mots de passe ou encore des mesures destinées à empêcher l’exécution automatique de macros dans les e-mails. D’autres conseils concernent l’adoption d’un modèle du principe des moindres privilèges ou encore l’organisation de formations à la cybersécurité.
Si ces idées constituent un bon point de départ, les entreprises doivent aller plus loin dans le développement de leur résilience aux ransomwares en s’efforçant d’éviter l’essor d’un modèle à base d’abonnement.
Développer la résilience aux ransomwares
La sécurité évolue constamment, c’est pourquoi il ne suffit pas d’effectuer des exercices occasionnels pour vérifier le respect des réglementations. Il convient plutôt d’aborder la sécurité sous la forme d’un programme continu et évolutif, prévoyant des tests permanents des mesures de sécurité et des capacités de réponse aux incidents. Au lieu de simplement lancer des cours de cybersécurité, les entreprises doivent nommer un ambassadeur de la sécurité au sein de chaque équipe afin de faciliter la communication des règles de sécurité, la détection des menaces et la réponse aux incidents.
L’approche « 24 heures sur 24, 7 jours sur 7 » doit être étendue à tous les aspects de la sécurité afin que les comptes à privilèges fassent l’objet d’audits réguliers à la recherche de signes d’infection. L’automatisation peut démultiplier ces efforts en permettant de réaliser des tests rapidement et régulièrement, sans intervention humaine. L’objectif ultime de ces tests et audits fréquents n’est pas seulement d’empêcher l’intrusion d’assaillants, ou du moins de les détecter avant qu’ils ne déploient des ransomwares, mais aussi de veiller à ce qu’ils ne puissent pas s’implanter durablement dans le réseau, faute de quoi ceux-ci auront tout loisir de passer des heures voire des jours à développer leur attaque. S’ils parviennent à accéder à un compte disposant de privilèges élevés, les jeux sont faits. Cependant, si un comportement anormal peut être identifié dès les premières phases de l’attaque et que le temps de réaction est réduit au minimum, il est possible de la tuer dans l’œuf et d’en limiter les dommages.
Alors que nous voyons émerger de nouveaux modèles économiques sur la scène des ransomwares, les entreprises doivent développer leur résilience. Si les victimes deviennent résistantes aux attaques, les cybercriminels feront chou blanc. Les groupes de ransomwares font preuve de persévérance, d’innovation et raisonnent sur le long terme. Les défenseurs doivent penser et agir comme eux.