L’état des ransomwares: de l’évolution à la progression
Français
CISO MAG, en association avec Cybereason, a organisé une table ronde virtuelle sur “L’état des ransomwares”.
Le panel a discuté de l’évolution et des nouvelles tendances des attaques de ransomware. Prenez l’extrait de la discussion ci-dessous…
Depuis la dernière décennie, les ransomwares sont l’un des types de malwares les plus courants déployés lors d’une cyberattaque. Cependant, si quelqu’un demandait à mettre le doigt sur une année qui a marqué la montée soudaine des ransomwares, ce serait 2020.
Selon un rapport récent, au cours de la dernière année (du S2 2019 au S1 2020), il y a eu plus de 500 attaques de ransomwares réussies dans plus 45 pays qui ont fait l’objet d’un rapport officiel. Cela signifie que chaque jour, il y a eu plus d’une attaque de ransomware dans le monde. Les experts estiment que ce nombre pourrait même doubler si toutes les attaques étaient signalées. Les dommages financiers résultant d’attaques de ransomwares au cours de cette période ont représenté plus de 1 milliard de dollars (1 005 186 000 dollars) et les prévisions futures prévoient que ce nombre augmentera 20 fois à 20 milliards de dollars d’ici 2021.
Alors, comment apprivois-tu le taureau enragé qui porte son nom «Ransomware»? Pour prendre le taureau par ses cornes, CISO MAG, en association avec Cybereason, a organisé une table ronde virtuelle sur «L’état des ransomwares.» La discussion était animée par Cybereason Tarek Kuzbari, Directeur régional Moyen-Orient et Turquie, qui a été rejoint par Eng. Abdullah Biary, RSSI chez SALAMA Cooperative Insurance Co., et Hamad Al Katheri, Vice-président des risques d’entreprise et de la sécurité de l’information, Zain.
La discussion a été menée sur les points suivants points clés:
Sommaire
Évolution des ransomwares
Depuis le début du siècle, les cybercriminels ont commencé à jouer avec la psychologie humaine et à diffuser des e-mails constitués de contenus effrayants ou angoissants pour pousser les lecteurs à cliquer sur des liens malveillants, ce qui a encore installé les logiciels malveillants. Cette technique a été adoptée par des gangs de ransomwares qui, après avoir installé le malware sur l’ordinateur d’un individu, ont chiffré les données et laissé une note de rançon en échange de la clé de déchiffrement. Ce modus operandi a parfaitement fonctionné pendant des années mais a donné des rendements plus modestes aux acteurs de la menace. C’est ainsi que vint l’étape suivante de l’évolution – cibler les grandes organisations.
«Les attaques de ransomwares sont désormais devenues des actualités quotidiennes. Vous prenez votre papier ou votre téléphone portable et le voilà, une entreprise a été touchée par une attaque de ransomware écrite en gras “
– Tarek Kuzbari, RD Moyen-Orient et Turquie, Cybereason
Répondant aux questions de Tarek sur les raisons du passage à une plus grande entreprise et non à des individus, Abdullah Biary a déclaré: “C’est simple. Le passage d’individus à des organisations plus grandes a donné de meilleurs rendements aux acteurs de la menace. Les grandes entreprises ont des données critiques et sensibles qui, si elles sont divulguées, pourraient causer des dommages non seulement pécuniaires mais également à la réputation. Ce ne sont pas faciles à réparer. » Et donc, les acteurs de la menace ont tiré parti de cette peur exacte.
Tendances actuelles et nouvelles tactiques
Le ransomware n’a certainement pas atteint sa dernière étape d’évolution. Les gangs de ransomwares téléchargent désormais les données critiques des victimes avant même de crypter leurs machines. Ils utilisent ces données comme moyen de négocier. Si les victimes ne paient pas la rançon, elles les menacent en organisant des enchères de données sur le dark web. En fait, REvil, un tristement célèbre gang de ransomwares, a déjà organisé un site d’enchères pour vendre les données volées qui refusent de payer une rançon. Dans les mots de Hamad, “C’est du chantage”, et c’est effectivement le cas.
Tarek a également soulevé un problème très important de vente de ransomwares «en tant que service» (connu sous le nom de RaaS). Abdullah Biary a accepté en disant: «Oui, cela a tout simplement décollé. Ils le distribuent en tant que Ransomware-as-a-Service pour gagner de l’argent supplémentaire et collaborer. Ils s’unissent et nous devrions donc le défendre.
Tarek a demandé à Hamad s’il manquait une lacune dans le ransomware qui ajoute à notre point de douleur, ce à quoi il a répondu: «Les lacunes sont là, et elles ont toujours été là. On ne peut rien y faire d’autre que de surveiller en permanence et de corriger ces lacunes de manière proactive. »
Les leçons du terrain
Les humains et la technologie
À maintes reprises, il a été dit que les humains sont un maillon faible, et les panélistes ont fait écho à cette pensée. Hamad a dit, «Le facteur humain de la sécurité est le plus redouté. De petites erreurs comme la mise à jour tardive des correctifs ou la mise à jour des systèmes et des applications sont à l’origine de l’exploitation. » Abdullah a secondé Hamad en disant: «Plus que des technologies comme le XDR et le MDR, les entreprises ont besoin d’une main-d’œuvre en cybersécurité dûment qualifiée. C’est le besoin de l’heure. »
«Plus que des technologies comme le XDR et le MDR, les entreprises ont besoin d’une main-d’œuvre en cybersécurité dûment qualifiée. C’est le besoin de l’heure. Les humains peuvent faire ou défaire la sécurité. »
– Abdullah Biary, RSSI, Salama Coop. Compagnie d’assurance
Payer ou ne pas payer, telle est la question
Le département américain du Trésor (OFAC) a récemment annoncé que le paiement d’une rançon aux cybercriminels était désormais illégal. Les organes directeurs du monde entier ont toujours condamné les paiements de rançon, mais c’est le premier cas où il a été effectivement établi que le paiement d’une rançon est illégal. Ainsi, faisant avancer la discussion, Abdullah a déclaré: «Nous ne devrions pas, mais c’est situationnel.» Donnant l’exemple du décès récent d’une personne en raison d’un retard de l’aide médicale depuis que l’hôpital a été touché par une attaque de ransomware, il a déclaré: «C’est une exception. C’est une question de vie ou de mort et rien ne vient au-dessus de sauver une vie.“
Hamad avait des opinions similaires et a dit: «Cela devrait être le dernier recours. Si vous payez, vous êtes un client potentiel des méchants, ils reviendront vers vous. De plus, il n’y a aucune garantie de récupérer vos données. Alors, pourquoi payer? Cependant, c’est toujours un choix difficile, payer ou ne pas payer. »
Comment mieux protéger votre organisation contre les ransomwares
Comme indiqué précédemment, nous sommes loin d’être au bout du tunnel des attaques de ransomwares. Ils commencent seulement à s’évanouir. Le pire reste probablement à venir. Alors, comment renforcer nos défenses contre une attaque de ransomware? Tarek a posé cette question aux deux panélistes et ils ont donné à nos participants de bonnes idées.
Abdullah a dit, «Une surveillance constante ainsi que des tests de pénétration fréquents et une évaluation de la vulnérabilité sont de la plus haute importance.» De plus, il a également recommandé une autre chose qu’il demande à sa propre équipe de suivre – “Garder une trace de tous les actifs.” Il suggère, «Avec la responsabilité de tous les actifs des équipes internes, vous savez ce dont vous avez besoin pour défendre et être prêt pour une attaque à toutes les instances.
En plus de cela, Hamad a suggéré l’adoption d’une approche proactive. «N’attendez pas que cela se produise. Défendez comme si cela allait certainement arriver. Il a rappelé aux participants l’adage populaire de la cybersécurité, «Un bon gars (la défense) doit avoir raison tout le temps, mais un mauvais acteur (attaque) doit faire les choses correctement une seule fois.»
«Vos données sont un joyau couronné. Cryptez-le toujours, sinon ce sera mauvais très mauvais. »
– Hamad Al Katheri, vice-président de la sécurité de l’information et des risques d’entreprise, Zain
Enfin, Tarek a demandé à nos panélistes de choisir les trois principaux conseils qui pourraient être les joyaux de la couronne pour la lutte contre les attaques de ransomwares, sur lesquels tous deux ont convenu à l’unanimité de ce qui suit:
- Identifiez vos actifs: Comprendre ce qui doit être protégé en fonction des rapports d’analyse des risques des équipes internes. Et comme l’a dit Hamad, «Les données de votre organisation sont un joyau de la couronne. Chiffrez-le toujours. »
- Définissez les flux commerciaux critiques: Rassemblez autant d’informations que possible. Vous devez demander à toutes les parties prenantes de soumettre ce qu’elles estiment être le plus critique pour le flux de l’entreprise. Chaque équipe a une perspective différente. Ainsi, considérer chaque perspective vous aidera à concevoir une meilleure ligne directrice pour la sécurité.
- Transmettez et convaincre les dirigeants d’entreprise: Cette étape est très importante. Le retour sur investissement (ROI) est quelque chose qui intéresse toujours les chefs d’entreprise. Leur expliquer pourquoi investir dans la protection contre une cyberattaque, qui pourrait avoir lieu ou non, pourrait être délicat. Abdullah a suggéré, «Parlez-leur dans leur propre langue. Montrez-leur des chiffres et faites-leur comprendre l’importance d’investir dans la cybersécurité. » Hamad a ajouté, «Il n’y a pas de place pour le regret en cybersécurité. Investir de l’argent une fois que vous êtes déjà attaqué n’a pas de sens. Faites-le quand il y a encore de l’espoir.
La table ronde virtuelle a réuni plus de 100 participants et la discussion perspicace les a tenus collés à leurs écrans tout au long. CISO MAG aimerait profiter de l’occasion pour remercier encore une fois M. Tarek Kuzbari, ing. Abdullah Biary, et Hamad Al Katheri pour leur temps précieux et leurs connaissances significatives sur «L’état des ransomwares.»
À propos de l’intervieweur
Mihir Bagwe est rédacteur technique et fait partie de l’équipe éditoriale de CISO MAG. Il écrit des articles d’actualité, des blogs techniques et mène des interviews sur les dernières technologies et tendances en matière de cybersécurité.
Autres messages de l’auteur:
