Les ransomwares restent une menace majeure pour les organisations, car ils chiffrent les fichiers et les systèmes critiques tout en exigeant le paiement d’une rançon. Mais les ransomwares ne constituent pas une attaque monolithique : il existe un large éventail de familles et de variantes de ransomwares en constante évolution, chacune présentant des capacités et des comportements uniques. Par conséquent, pour se défendre contre les ransomwares, il faut comprendre les principales souches actives aujourd’hui et les stratégies pour contrer leurs méthodes d’intrusion, de propagation et de cryptage des données. Ce guide examine spécifiquement les types de ransomware auxquels les organisations sont confrontées, la manière dont leurs tactiques diffèrent, les impacts sur l’entreprise et les mesures de prévention adaptées pour renforcer la sécurité contre chaque souche.
Armé de ces connaissances, vous pouvez évaluer votre exposition aux variantes à haut risque et commencer à mettre en œuvre des contre-mesures là où il existe des lacunes en matière de protection. En outre, les ransomwares étant de plus en plus sophistiqués, le fait de connaître les différents types de ransomwares et d’en comprendre les mécanismes permet d’élaborer des défenses plus efficaces et plus ciblées.. Les thèmes communs à l’ensemble de la prévention assurent une résistance générale, tandis que les tactiques spécifiques permettent de contrer les attributs uniques des souches les plus importantes.
Principales variantes de ransomware ciblant les organisations
Il existe des centaines de familles distinctes de ransomwares, mais plusieurs types de ransomwares constituent actuellement les menaces les plus sérieuses :
- LockerGoga : Désactive les outils de récupération et de sauvegarde du système avant de crypter tous les fichiers en une seule fois. Très perturbateur, mais capacités de mouvement latéral limitées.
- Ryuk : Très furtif et désactivation des outils de sécurité. Le cryptage lent sur plusieurs semaines permet d’obtenir des rançons élevées avant d’être détecté.
- Sodinokibi : La compromission initiale d’un site web se transforme en charge utile de type ransomware. Il exfiltre également des données susceptibles d’être utilisées à des fins d’extorsion.
- SamSam:Exploite les systèmes non patchés et force brute RDP. Déploiement manuel et extraction de rançons.
- RobinHood : crypte d’abord les systèmes critiques pour un impact rapide, mais limite la destruction des données.
- WannaCry : la propagation à grande échelle par Windows SMB a permis une propagation massive à l’échelle mondiale.
- NotPetya : se fait passer pour un ransomware mais se concentre sur la destruction de données. Les dommages causés s’élèvent à plus de 10 milliards de dollars. Très destructeur.
La connaissance des sources d’attaques récentes permet de concentrer les efforts de défense sur la protection contre les souches spécifiques à haut risque qui ciblent activement les régions et les industries locales.
Évolution des nouvelles capacités complexes des ransomwares
L’évolution des capacités des ransomwares a été marquée par une sophistication et une adaptabilité croissantes, posant des défis importants aux mesures de cybersécurité. À mesure que les développeurs de ransomwares innovent, ils créent des souches plus insaisissables et plus nuisibles. Voici un aperçu de l’évolution de ces capacités :
Capacités des ransomwares :
- Attaques en plusieurs étapes:
- Les premiers stades impliquent souvent des chevaux de Troie ou des réseaux de zombies qui s’infiltrent discrètement dans les systèmes.
- Ces étapes préparatoires ouvrent la voie à une attaque de ransomware plus dévastatrice, passant sous le radar des défenses traditionnelles.
- Techniques d’anti-détection :
- Les rançongiciels avancés recherchent désormais activement les outils de sécurité et les désactivent.
- Certaines souches modifient les règles du pare-feu pour faciliter leurs activités, ce qui rend la détection et la réaction plus difficiles.
- Caractéristiques d’autopropagation :
- L’intégration de caractéristiques semblables à celles d’un ver permet aux rançongiciels de se propager de manière autonome.
- Cette capacité permet au ransomware de se déplacer à travers les réseaux et les systèmes sans intervention humaine, ce qui augmente la vitesse et l’ampleur des attaques.
- Menaces et leviers supplémentaires :
- Au-delà du cryptage des données, il existe des menaces d’attaques par déni de service distribué (DDoS) et de publication de données volées si les demandes ne sont pas satisfaites.
- Cette approche sur plusieurs fronts augmente considérablement les enjeux pour les victimes, en les poussant à se conformer à la loi.
- Les logiciels malveillants polymorphes :
- Ces variantes modifient constamment leur code afin d’échapper aux systèmes de détection basés sur les signatures.
- Les routines de chiffrement modifiées et les techniques d’obscurcissement rendent difficile l’identification et le blocage par les défenses statiques.
- Ransomware-as-a-Service (RaaS) :
- Le modèle « as-a-service » a démocratisé l’accès aux ransomwares, permettant même aux criminels non techniques de déployer des attaques sophistiquées.
- Les créateurs vendent ou louent des variantes de ransomware personnalisées, ce qui entraîne une prolifération d’attaques uniques et personnalisées.
- Exploitation d’outils légitimes :
- L’utilisation d’outils légitimes d’accès à distance, comme PSexec, en combinaison avec des informations d’identification volées, facilite les mouvements latéraux inaperçus au sein des réseaux.
- Cette tactique fait passer l’attaque pour une activité normale du réseau, ce qui permet de contourner certains types de détection.
- Cibler les systèmes de récupération :
- Les ransomwares modernes ciblent souvent les sauvegardes et les solutions de reprise après sinistre.
- En entravant le processus de récupération, les attaquants augmentent la pression sur les organisations pour qu’elles paient la rançon.
Implications pour la cybersécurité :
- Stratégies de défense adaptatives : Les organisations doivent adopter une approche de sécurité dynamique et multicouche pour faire face à l’évolution des menaces.
- Amélioration de la détection et de la réponse : L’accent mis sur la détection basée sur le comportement, les capacités de réponse rapide et la surveillance continue peut aider à identifier et à atténuer ces types de ransomware.
- Des solutions de sauvegarde complètes : La mise en place de systèmes de sauvegarde robustes et isolés, régulièrement testés, peut réduire l’impact des attaques visant les infrastructures de récupération.
- Sensibilisation et formation des employés : Les tactiques des ransomwares évoluant, des programmes réguliers de formation et de sensibilisation du personnel deviennent cruciaux pour reconnaître et prévenir les infiltrations initiales.
- Collaboration et partage de renseignements : La collaboration avec d’autres organisations et le partage de renseignements sur les menaces peuvent fournir des alertes précoces et des stratégies de défense contre les nouvelles variantes de ransomware.
En résumé, le développement rapide des capacités des ransomwares exige une posture de sécurité proactive et évolutive, associant des solutions technologiques avancées à une planification stratégique et à une vigilance humaine.
Tactiques uniques utilisées par des souches spécifiques de ransomware
Les tactiques uniques utilisées par des souches spécifiques de ransomware et les stratégies de sécurité correspondantes conçues pour contrer ces menaces impliquent une compréhension approfondie du modus operandi de chaque souche et le développement de mesures de défense spécialisées. Voici une analyse plus détaillée des principaux types de ransomware:
Tactiques des souches de ransomware :
Ryuk :
- Infiltration initiale : Utilisation de courriels trompeurs sur des thèmes d’actualité. Exploite un logiciel légitime, mais compromis, qui contourne les mesures de sécurité traditionnelles en raison de son statut de liste blanche.
- Mouvement interne : Après avoir pénétré dans un réseau, Ryuk met l’accent sur le vol d’informations d’identification à l’aide d’outils tels que Mimikatz, ce qui permet de se déplacer dans le réseau sans déclencher d’alarmes. L’approche lente et furtive permet d’infiltrer le réseau en profondeur pendant des semaines.
- Préparation de l’attaque : Se concentre sur la désactivation des mesures de sécurité, l’effacement des données de sauvegarde et l’obtention de privilèges administratifs. Cet affaiblissement systématique des défenses permet de maximiser les dégâts une fois que le chiffrement est activé.
- Exécution de l’attaque : Caractérisée par une activation manuelle et des demandes de rançon personnalisées, reflétant une approche ciblée qui diffère des attaques génériques et généralisées de ransomware.
SamSam :
- Point d’entrée : Cible les systèmes par le biais de vulnérabilités telles que l’accès au protocole de bureau à distance (RDP) non corrigé, souvent en utilisant la force brute sur des mots de passe faibles.
- Reconnaissance du réseau : Il s’agit d’investigations manuelles visant à cartographier et à comprendre le réseau de la victime. Cela permet aux attaquants de se concentrer sur le cryptage des actifs critiques plutôt que sur le cryptage aveugle.
- Méthode de cryptage : Utilise le cryptage RSA, la clé privée étant supprimée après le paiement de la rançon, ce qui rend le décryptage non autorisé pratiquement impossible.
- Sélection des cibles : Les cibles privilégiées sont les infrastructures critiques de grande valeur, comme les établissements de soins de santé, où un paiement rapide est plus probable en raison de la nécessité de rétablir rapidement les opérations.
WannaCry :
- Méthode de propagation : Exploitation de l’exploit EternalBlue NSA, permettant une propagation automatique via le protocole SMB, ne nécessitant aucune interaction de la part de l’utilisateur.
- Défauts techniques : Il présentait une condition de course et manquait de mutex, ce qui entraînait la création de multiples copies de fichiers chiffrés. Bien que moins sophistiquée, elle était encore remarquablement efficace.
- Portée mondiale : Capable d’analyser et d’infecter rapidement de vastes segments de réseau, il a compromis plus de 200 000 systèmes dans le monde.
- Nature de l’attaque : Stratégie d’attaque automatisée et de grande ampleur entraînant des failles de sécurité opérationnelles. La facilité de paiement et les systèmes de décryptage ont découragé les demandes de rançon plus élevées.
Des stratégies de sécurité adaptées à des souches de ransomware spécifiques
Ryuk :
- Gestion des accès privilégiés : Appliquez des contrôles stricts pour empêcher le vol d’informations d’identification et les mouvements latéraux non autorisés. Contrôlez et limitez l’utilisation d’outils administratifs tels que PowerShell.
- Droits d’accès : Mettez en œuvre des politiques de moindre privilège et supprimez les droits d’administration locaux, afin de contenir la menace même si les informations d’identification sont compromises.
- Systèmes de sauvegarde : Conservez des sauvegardes hors ligne des actifs critiques afin d’éviter leur suppression ou leur cryptage par le ransomware.
- Défense contre le phishing : Concentrez-vous sur l’application rapide de correctifs aux systèmes de messagerie et aux plugins, associée à un filtrage rigoureux des pièces jointes aux courriels.
SamSam :
- Sécurité RDP : Renforcez l’accès au protocole de bureau à distance grâce à des stratégies de contrôle d’accès au réseau, à l’authentification multifactorielle et aux règles du système de prévention des intrusions.
- Gestion des actifs : Réalisez des inventaires complets des actifs connectés à l’internet, donnez la priorité aux correctifs et aux mises à jour de sécurité, ou utilisez l’IP allowlisting pour restreindre l’accès.
- Gestion des systèmes existants : Déconnectez ou migrez les applications des systèmes existants non corrigibles vers des serveurs sécurisés et mis à jour.
- Classification et contrôle des données : Mettez en œuvre une classification de la valeur des données et adoptez des mesures spécifiques de protection des données, comme le masquage des données financières sur les serveurs sensibles.
WannaCry :
- Gestion des correctifs : Appliquez les mises à jour critiques telles que MS17-010 pour empêcher l’exploitation par des outils tels qu’EternalBlue.
- Gestion SMB : Désactivez le partage de fichiers SMBv1 ou limitez son utilisation aux VPN surveillés.
- Segmentation du réseau : Utilisez des règles de pare-feu pour bloquer les communications SMB entre les points d’extrémité, empêchant ainsi la propagation du chiffrement.
- Mises à niveau du système d’exploitation : Remplacez ou mettez à niveau les systèmes d’exploitation obsolètes qui ne peuvent pas être entièrement sécurisés, tels que Windows XP et Server 2003.
Conclusion
Les rançongiciels continuent d’évoluer rapidement en termes de sophistication et de diversité des menaces. Mais la compréhension des comportements des types de ransomware aide les organisations à mettre en œuvre des défenses ciblées, basées sur des données, contre les vecteurs d’attaque et les méthodes de propagation prédominants. Bien qu’il soit peu probable que les ransomwares soient entièrement évités, les entreprises peuvent réduire considérablement les risques grâce à une combinaison de mesures fondamentales et de politiques adaptées pour contrer les attributs uniques des familles de ransomwares les plus connues.
Vous souhaitez évaluer votre exposition aux ransomwares en fonction des variantes à haut risque ciblant votre région et votre secteur d’activité ? Contactez-nous dès aujourd’hui pour découvrir nos tests d’intrusion d’intrusion et nos services d’évaluation de l’état de préparation aux ransomwares. Ces services identifient systématiquement les lacunes en matière de protection et proposent des feuilles de route claires pour y remédier. En outre, nos experts peuvent dispenser une formation ciblée de sensibilisation du personnel, adaptée spécifiquement aux menaces de ransomware auxquelles vous êtes confronté. Pour en savoir plus, consultez notre site et faites-nous savoir comment nous pouvons nous associer pour renforcer considérablement vos défenses contre les ransomwares.
