Le rapport Zscaler ThreatLabz 2022 sur les ransomwares révèle un nombre record d'attaques et un taux de croissance avoisinant les 120 % sur les ransomwares à double extorsion

Le secteur de la production est le plus touché pour la deuxième année consécutive, tandis que celui de la santé enregistre une augmentation sidérante des attaques, de quasiment 650 %

Paris, France, Juin 13, 2022

Principales conclusions : 

  • Les attaques par ransomware ont augmenté de 80 % sur une année, le modèle RaaS (« Ransomware-as-a-Service ») étant utilisé par huit des onze grandes familles de ransomwares. 

  • Près d'une attaque par ransomware sur cinq vise les entreprises du secteur de la production, ce qui en fait le plus ciblé pour la deuxième année consécutive. 

  • Les secteurs de la santé (+650 %) et de la restauration (+450 %) sont ceux ayant connu le plus fort taux de croissance des attaques par ransomware entre 2022 et 2021. 

  • Mise en place d'une stratégie de « rebranding » : les familles de ransomwares adoptent de nouvelles appellations afin de passer au travers des mailles du filet réglementaire, et ainsi continuer à infecter les entreprises. 

  • Les attaques par ransomware ciblant la chaîne d'approvisionnement entraînent une multiplicité de dommages, et permettent aux cybercriminels de contourner les contrôles de sécurité traditionnels. 

  • La guerre entre la Russie et l'Ukraine risque d'entraîner une augmentation des attaques combinant ransomwares et d'autres techniques, comme le couplage du ransomware PartyTicket et du malware HermeticWiper. 

 

Zscaler, Inc. (code NASDAQ : ZS), leader sur le secteur de la sécurité appliquée au Cloud, a publié son rapport annuel sur l'état des ransomwares. Etabli par son équipe ThreatLabz, il révèle une augmentation de 80 % des attaques par ransomware par rapport à l'année précédente. Les tendances 2022 en matière de ransomware gravitent autour de la double extorsion, des attaques ciblant la chaîne d'approvisionnement, du modèle Ransomware-as-a-Service, du rebranding des ransomwares et des attaques par ransomware à portée géopolitique. Le rapport analyse des données collectées sur plus d'un an, issues du plus grand Cloud de sécurité au monde, qui traite plus de 200 milliards de transactions quotidiennes et bloque chaque jour 150 millions d'attaques, grâce à la plate-forme de sécurité Zscaler Zero Trust Exchange™. Le rapport présente les secteurs les plus ciblés par les cybercriminels, explique les ravages occasionnés par la double extorsion et les attaques ciblant la chaîne d'approvisionnement, et répertorie les groupes de ransomware les plus actifs à l'heure actuelle. 

« Les attaques modernes par ransomware sont d'une efficacité redoutable : il suffit désormais d'une seule compromission d'actif réussie pour ouvrir une brèche initiale, qui va ensuite permettre aux cybercriminels de se déplacer latéralement sur le réseau et de mettre à mal l'ensemble de l'environnement. Les VPN d'ancienne génération et les réseaux non segmentés s'en trouvent alors extrêmement vulnérables » explique Deepen Desai, RSSI chez Zscaler. « Les cybercriminels tirent leur épingle du jeu en exploitant les faiblesses au niveau des chaînes d'approvisionnement des entreprises, ainsi que d'autres failles critiques telles que Log4Shell, PrintNightmare, etc. En outre, avec l'essor du Ransomware-as-a-Service, désormais proposé sur le Dark Web, de plus en plus de criminels se tournent vers le ransomware, synonyme de pactole décroché à moindre risque. » 

La stratégie et la portée des attaques par ransomware n'ont cessé d'évoluer, mais toujours dans un seul et même but : perturber l'organisation cible et dérober des informations sensibles, en vue d'obtenir une rançon. Le montant de celle-ci dépend souvent du nombre de systèmes infectés et de la valeur des données volées : la somme est d'autant plus élevée que l'enjeu est important. En 2019, de nombreux groupes de ransomware ont actualisé leur plan d'attaque pour inclure l'exfiltration de données, constituant ainsi ce que l'on appelle communément un ransomware à « double extorsion ». Un an plus tard, certains groupes ont ajouté une autre couche d'attaque avec le déni de service distribué (DDoS), qui consiste à submerger le site Web ou le réseau de la victime afin de perturber ses activités, et ainsi la contraindre à entrer dans la négociation. 

La tendance la plus inquiétante en 2021 concerne les attaques ciblant la chaîne d'approvisionnement. Il s'agit de viser l'activité d'un fournisseur et de mettre à profit les connexions établies et les fichiers, réseaux ou solutions partagés afin d'initier une seconde salve d'attaques, cette fois sur les clients de ce fournisseur. L'équipe ThreatLabz a également constaté une augmentation de près de 120 % du nombre de victimes de ransomware à double extorsion, sur la base des éléments publiés sur les sites de divulgation de données sensibles, gérés par les cybercriminels. 

Pour la deuxième année consécutive, les entreprises du secteur de la production ont été les plus visées, en concentrant près d'une attaque de ransomware sur cinq. Toutefois, les attaques visant d'autres secteurs sont également en plein essor. Le taux de croissance des attaques ciblant le secteur de la santé est particulièrement spectaculaire, avec les attaques par double extorsion en hausse de presque 650 % par rapport à 2021. Vient ensuite le secteur de la restauration, qui enregistre une hausse de plus de 450 % des attaques par ransomware. 

Étant donné que partout dans le monde, les gouvernements ont commencé à prendre les ransomwares au sérieux, de nombreux groupes de cybercriminels se sont dissous, pour se reformer sous de nouveaux noms. Ainsi, fini DarkSide, bonjour BlackMatter. Même chose pour DoppelPaymer, devenu Grief. Enfin ne dites plus Rook, mais Pandora. La menace que représentent ces groupes n'a cependant pas marqué le pas, même si les stratégies qu'ils adoptent ont évolué. Beaucoup proposent désormais leurs outils à la vente sur le Dark Web, étendant ainsi la portée de leurs activités grâce au modèle commercial de Ransomware-as-a-Service. 

Les États-Unis ont publié en début d'année une déclaration sur les risques de cyberconduites malveillantes à l'encontre des États-Unis, en réponse aux sanctions économiques imposées à la Russie. Cette déclaration appelle à une action immédiate visant à renforcer les cyberdéfenses des organisations, aussi bien dans le secteur public que privé. D'autres pays qui soutiennent l'Ukraine ont émis des mises en garde similaires. À ce jour, l'équipe ThreatLabz a déjà identifié plusieurs attaques, telles que l'utilisation du ransomware PartyTicket et du malware HermeticWiper contre l'Ukraine, et des attaques du groupe de cybercriminels Conti ciblant plusieurs organismes gouvernementaux. L'équipe ThreatLabz poursuit donc son activité de veille sur les attaques à portée géopolitique. 

« Afin de réduire au maximum les probabilités d'une attaque par ransomware, et les répercussions désastreuses qui en découlent, les organisations doivent mettre en place des stratégies de défense en profondeur. Celles-ci doivent englober la réduction de la surface d'attaque, l'adoption d'une architecture Zero Trust, à même d'instaurer un contrôle d'accès basé sur le modèle du moindre privilège, et la surveillance et l'inspection continues des données dans tous les environnements » ajoute Deepen Desai. 

Nous conseillons aux organisations cherchant à atténuer les risques persistants liés aux ransomwares, et aux attaques à double ou triple extorsion, de se pencher sur les sept mesures de prévention clés suivantes, susceptibles d'accroître l'inviolabilité du réseau à long terme. 

Le rôle de la plate-forme Zscaler Zero Trust Exchange dans la prévention des attaques par ransomware 

La plate-forme Zscaler Zero Trust Exchange intègre des contrôles de prévention des ransomwares dans une architecture holistique Zero Trust, qui vient perturber chacune des étapes constituant les attaques et en réduit les dommages à leur strict minimum. Les meilleures pratiques et les capacités avancées suivantes peuvent réduire considérablement le risque d'attaque par ransomware. 

  • Prévenir les compromissions grâce à des politiques de sécurité cohérentes : inspection de l'ensemble du trafic chiffré par SSL, solutions d'isolation de navigateur, sandboxing en ligne et contrôle d'accès basé sur des politiques, pour empêcher l'accès aux sites Web malveillants. 

  • Éliminer les déplacements latéraux sur le réseau, en retirant les applications d'Internet et en mettant en place une architecture d'accès réseau Zero Trust (ZTNA) : connexion directe des utilisateurs aux applications, et non au réseau, pour limiter le rayon d'action d'une attaque. 

  • Neutraliser les utilisateurs compromis et les menaces internes : association de l'inspection en ligne des applications et des capacités intégrées d'émission de leurres afin de tromper/détecter les attaquants potentiels, et les bloquer. 

  • Stopper la perte de données : la mise à jour des logiciels, la formation des collaborateurs, le déploiement d'un système de prévention des pertes de données en ligne et l'inspection des données en mouvement et au repos contribuent à éviter les vols de données par des cybercriminels. 

Pour plus d'informations sur la manière de se protéger contre les ransomwares et les différentes menaces, et sur le développement d'un plan de réponse aux ransomwares, lisez le rapport 2022 de l'équipe ThreatLabz sur l'état des ransomwares

Méthodologie 

L'équipe ThreatLabz a évalué les données de la plate-forme Zscaler Zero Trust Exchange qui, chaque jour, sécurise plus de 200 milliards de transactions et bloque 150 millions de menaces, partout dans le monde. ThreatLabz a analysé l'équivalent d'une année de données mondiales sur les ransomwares, issues du Cloud Zscaler, ainsi que des données de veille provenant de sources externes, de février 2021 à mars 2022, afin d'identifier les principales tendances, les secteurs et zones géographiques à risque, ainsi que les dernières stratégies adoptées. 

À propos de Zscaler

Zscaler (NASDAQ : ZS) accélère la transformation digitale afin que les clients puissent être plus agiles, efficaces, résilients et sécurisés. Zero Trust Exchange de Zscaler protège des milliers de clients contre les cyberattaques et les pertes de données en connectant de manière sécurisée les utilisateurs, les appareils et les applications indépendamment de leur emplacement. Distribué dans plus de 150 data centers répartis dans le monde, Zero Trust Exchange, basé sur le SSE, est la plus grande plateforme de sécurité cloud in-line au monde.

Contacts médias

Karin Gall
EMEA Public Relations
0049 89 54558358
[email protected]