Rapport 2022 de ThreatLabz sur l’état des ransomwares

Les attaques par ransomware ont encore augmenté de 80 % entre février 2021 et mars 2022, d’après une analyse des payloads de ransomware observés dans Zscaler Cloud. Les attaques à double extorsion, qui ajoutent l’exfiltration des données à leur chiffrement, augmentent encore plus vite, avec 117 % par rapport à l’année précédente.

Le rapport 2022 de ThreatLabz sur l’état des ransomwares analyse une année de renseignements provenant de diverses sources, dont plus de 200 milliards de transactions quotidiennes et 150 millions de menaces bloquées par jour dans le Zero Trust Exchange de Zscaler, et révèle un attrait croissant des ransomwares de la part des criminels. Les hackers sont en mesure de mener des campagnes de plus en plus rentables basées sur trois grandes tendances : 

• Les attaques de la chaîne d’approvisionnement qui exploitent les relations de confiance avec les fournisseurs pour pénétrer dans les entreprises et multiplier les préjudices en permettant aux acteurs malveillants de toucher plusieurs (parfois des centaines ou des milliers) victimes en même temps.
• Les ransomwares en tant que service qui utilisent des réseaux affiliés pour diffuser des ransomwares à grande échelle, permettant aux hackers experts en matière de violation de réseaux de partager les bénéfices avec les groupes de ransomwares les plus avancés.
• Les attaques à extorsion multiple qui recourent au vol de données, à des attaques par déni de service distribué (DDoS), aux communications avec les clients, etc. comme autant de tactiques d’extorsion à plusieurs niveaux destinées à augmenter le montant des rançons. Les attaques de la chaîne d’approvisionnement, les écosystèmes de ransomware en tant que service (RaaS) et les tactiques d’extorsion multiples ont tous augmenté le volume et les taux de réussite des attaques. 

Dans ce rapport, ThreatLabz propose une analyse complète du paysage des menaces liées aux ransomwares afin de présenter des données sur les tendances, des prédictions et des conseils de défense. Notre rapport présente en détail les séquences d’attaque, le profil des victimes et l’impact économique des 11 principales familles de ransomwares, dont les suivantes :

• Conti   
• LockBit   
• PYSA/Mespinoza   
• REvil/Sodinokibi   
• Avaddon   
• Clop   
• Grief   
• Hive   
• BlackByte   
• AvosLocker   
• BlackCat/ALPHV

Variation en pourcentage des attaques à double extorsion par secteur d’activité

 

 Résultats clés

 

• Les attaques par ransomware ont augmenté de 80 % en un an, représentant tous les payloads de ransomware observés dans Zscaler Cloud.
   
• Les occurrences de ransomwares à double extorsion ont augmenté de 117 %. Certains secteurs ont connu une croissance particulièrement élevée des attaques à double extorsion, notamment les soins de santé (643 %), la restauration (460 %), l’exploitation minière (229 %), l’éducation (225 %), les médias (200 %) et la fabrication (190 %).

• L’industrie manufacturière a été le secteur le plus ciblé pour la deuxième année consécutive, représentant près de 20 % des attaques de ransomware à double extorsion.
   
• Les attaques par ransomware de la chaîne d’approvisionnement sont en augmentation. L’exploitation de fournisseurs de confiance permet aux hackers de s’attaquer à un grand nombre d’entreprises en même temps, y compris à celles qui sont dotées de solides dispositifs de protection contre les attaques externes. Les attaques par ransomware de la chaîne d’approvisionnement perpétrées l’année dernière comptent notamment les campagnes préjudiciables contre Kaseya et Quanta, ainsi qu’un certain nombre d’attaques qui exploitent la vulnérabilité Log4j.
   
• Les ransomwares en tant que service sont à l’origine d’un plus grand nombre d’attaques. Les groupes de ransomware continuent de recruter des affiliés par le biais de forums criminels clandestins. Ces affiliés mettent en péril de grandes entreprises et déploient le ransomware du groupe, généralement en échange d’environ 80 % des paiements de rançon perçus des victimes. La plupart (8 sur 11) des principales familles de ransomware de l’année dernière ont proliféré communément via des modèles de ransomware en tant que service.
   
• Les forces de l’ordre sévissent. Un certain nombre des principales familles de ransomware ayant sévi l’année dernière, en particulier celles qui ciblent les services publics, ont attiré l’attention des organismes chargés de l’application de la loi aux quatre coins du monde. En 2021, les autorités ont saisi les actifs de trois des familles de ransomware les plus notoires de ces deux dernières années.

• Les familles de ransomwares ne disparaissent pas, elles changent simplement de nom. Sentant la pression accrue des forces de l’ordre, de nombreux groupes de ransomware se sont dissous et reformés sous de nouvelles bannières, sous lesquelles ils utilisent les mêmes tactiques (ou des tactiques très similaires). 
   
• Le conflit Russie-Ukraine met le monde en état d’alerte. Plusieurs attaques ont été associées au conflit Russie-Ukraine, certaines combinant plusieurs tactiques, comme les ransomwares HermeticWiper et PartyTicket. Jusqu’à présent, la plupart de ces activités ont visé l’Ukraine. Cependant, les agences gouvernementales ont mis les entreprises en garde contre le risque de propagation des attaques à mesure que le conflit persiste.
   
• Zero Trust demeure la meilleure défense. Pour minimiser les risques de violation et les préjudices que peut provoquer une attaque réussie, votre entreprise doit utiliser des stratégies de défense approfondies qui englobent la réduction de votre surface d’attaque, l’application d’un contrôle d’accès basé sur le principe du moindre privilège, ainsi que la surveillance et l’inspection continues des données dans l’ensemble de votre environnement.

 

 

Comment se protéger contre les ransomwares

Qu’il s’agisse d’une simple attaque par ransomware, d’une attaque à double ou triple extorsion, d’une famille de menaces autonome ou d’une attaque par RaaS exécutée par un réseau affilié, la stratégie de défense est la même : appliquer les principes Zero Trust pour limiter les vulnérabilités, prévenir et détecter les attaques, et limiter le rayon d’action des violations réussies. Voici quelques recommandations pour protéger votre entreprise contre les ransomwares :

1. Retirer vos applications d’Internet. Les acteurs de ransomwares commencent leurs attaques en effectuant une reconnaissance de votre environnement, en recherchant les vulnérabilités exploitables et en calibrant leur approche. Plus vos applications seront publiées sur Internet, plus vous serez facile à attaquer. Utilisez une architecture Zero Trust pour sécuriser les applications internes et les rendre invisibles aux attaquants.
2. Appliquer une politique de sécurité cohérente pour empêcher la compromission initiale. Avec des collaborateurs travaillant à distance, il est important de mettre en œuvre une architecture SSE (Security Service Edge) capable d’appliquer une politique de sécurité cohérente, quel que soit le lieu de travail des utilisateurs (au bureau ou à distance). 
3. Recourir au sandboxing pour détecter les payloads inconnus. La détection basée sur la signature ne suffit pas face à l’évolution rapide des variantes et des payloads des ransomwares. Il est indispensable de se protéger contre les attaques inconnues et dérobées au moyen d’un sandbox inline, alimenté par l’IA, qui analyse le comportement plutôt que l’emballage d’un fichier.
4. Mettre en œuvre une architecture ZTNA (Zero Trust Network Access). Mettez en œuvre une segmentation granulaire utilisateur-application et application-application, en négociant l’accès à l’aide de contrôles dynamiques des accès sur la base du moindre privilège pour éliminer les déplacements latéraux. Cela vous permet de minimiser les données susceptibles d’être chiffrées ou dérobées, réduisant ainsi le rayon d’action d’une attaque. 
5. Déployer une protection inline contre la pertes de données. Empêchez l’exfiltration d’informations sensibles à l’aide d’outils et de politiques de protection contre la perte de données basés sur la confiance, afin de déjouer les techniques de double extorsion.
6. Maintenir les logiciels à jour et former les équipes régulièrement. Appliquez des correctifs de sécurité logicielle et sensibilisez régulièrement les employés à la sécurité afin de réduire les vulnérabilités pouvant être exploitées par les cybercriminels.
7. Disposer d’un plan de réaction. Préparez-vous au pire avec une cyber-assurance, un plan de sauvegarde des données et un plan de réaction dans le cadre de votre programme global de continuité des activités et de reprise après sinistre.

Pour maximiser vos chances de vous prémunir des ransomwares, vous devez adopter des défenses en couches capables de perturber l’attaque à chaque étape, de la reconnaissance à la compromission initiale, au déplacement latéral, au vol de données et à l’exécution du ransomware.

Zscaler Zero Trust Exchange est une plateforme SSE (Security Service Edge) de premier plan, qui offre une protection inégalée contre les ransomwares à chaque étape de la chaîne d’attaque, afin de considérablement réduire le risque d’attaque et d’atténuer les préjudices potentiels.

Zscaler intègre en natif des capacités Zero Trust de pointe qui permettent de :

• Réduire la surface d’attaque : l’architecture cloud native de Zscaler, basée sur un proxy, réduit la surface d’attaque en dissimulant les applications internes sur Internet, éliminant ainsi les vecteurs d’attaque potentiels. 
• Empêcher les compromissions : Zscaler assure l’inspection et l’authentification complètes de tout le trafic, y compris le trafic chiffré, pour empêcher que les acteurs malveillants ne puissent s’infiltrer, en utilisant des outils tels que l’isolation du navigateur et le sandboxing inline afin de protéger les utilisateurs contre les menaces inconnues et dérobées.
• Supprimer les déplacements latéraux : Zscaler connecte en toute sécurité les utilisateurs et les entités directement aux applications, et non aux réseaux, pour éliminer toute possibilité de mouvements latéraux, et entoure vos applications de leurres réalistes et sophistiqués pour faire bonne mesure.
  Arrêter la perte de données : Zscaler inspecte tout le trafic sortant vers les applications cloud afin d’empêcher le vol de données, et utilise les capacités du CASB (Cloud Access Security Broker) pour identifier et corriger les vulnérabilités des données au repos.

Pour en savoir plus sur les principales menaces actuelles que représentent les ransomwares et sur la manière de protéger votre entreprise contre celles-ci, téléchargez gratuitement le « Rapport 2022 de ThreatLabz sur l’état des ransomwares ».

 

À propos de ThreatLabZ

ThreatLabz est la branche de recherche en sécurité de Zscaler. Cette équipe de premier ordre est responsable de la chasse aux nouvelles menaces et s’assure que les milliers d’entreprises qui utilisent la plateforme mondiale Zscaler sont toujours protégées. Outre la recherche et l’analyse comportementale des programmes malveillants, les membres de l’équipe sont impliqués dans la recherche et le développement de nouveaux modules de prototype pour la protection contre les menaces avancées sur la plateforme Zscaler, et effectuent régulièrement des audits de sécurité internes pour s’assurer que les produits et l’infrastructure Zscaler répondent aux normes de conformité en matière de sécurité. ThreatLabz publie régulièrement des analyses approfondies des menaces nouvelles et émergentes sur son portail, research.zscaler.com.

 

Restez informé des recherches de ThreatLabz en vous abonnant dès aujourd’hui à notre bulletin d’information Trust Issues.