Ces dernières années, les attaques ciblées contre des entreprises spécifiques ont remplacé les attaques généralisées par ransomwares, au cours desquelles les criminels cryptaient préalablement les données et communiquaient la clé contre le paiement d’une rançon. Dans ces nouvelles campagnes ciblées, les attaquants ne se contentent plus de crypter des données, mais menacent également de publier tout ou partie des informations confidentielles.
Les chercheurs de Kaspersky ont observé cette évolution en analysant notamment deux familles de ransomware : Ragnar Locker et Egregor.
Les attaques par rançongiciel ou ransomware sont considérées comme l’une des menaces les plus pernicieuses pour les entreprises. Non seulement elles peuvent nuire aux opérations commerciales, mais également entraîner des pertes financières considérables, pouvant parfois mener à la faillite en raison des amendes et des poursuites judiciaires encourues pour violation des lois et règlements.
A titre d’exemple, on estime que les attaques de WannaCry ont causé plus de 4 milliards de dollars de pertes financières. Cependant, les nouvelles campagnes par rançongiciel utilisent un nouveau mode opératoire : les cybercriminels menacent de publier les informations volées.
Ragnar Locker et Egregor, les deux groupes de ransomware les plus connus
Ragnar Locker, identifié pour la première fois en 2019, s’est réellement fait connaitre dans la première moitié de 2020, lorsqu’il a été suspecté d’attaquer de grandes organisations. Ses attaques sont ciblées, chaque échantillon étant spécifiquement adapté à la victime visée, et ceux qui refusent de payer voient leurs données confidentielles publiées dans la section “Wall of Shame” sur le site des cyberattaquants.
De même, si la victime discute avec les agresseurs et refuse ensuite de payer, cette discussion est publiée. Les principales cibles sont des entreprises américaines de différents secteurs d’activité. En juillet dernier, Ragnar Locker a officiellement déclaré avoir rejoint le groupe de cybercriminels à l’origine du ransomware Maze, ce qui signifie que les deux groupes de cybercriminels partagent désormais des informations volées et collaboreront très prochainement. Maze fait d’ailleurs partie des groupes de cybercriminels à l’origine des attaques ransomwares les plus marquantes de 2020.
Egregor est beaucoup plus récent que Ragnar Locker. Il a été détecté pour la première fois en septembre dernier. Cependant, il utilise peu ou prou des tactiques similaires et son code partage des similitudes avec celui de Maze. Le malware est généralement désactivé en pénétrant dans le réseau, une fois que les données de la cible ont été exfiltrées, ce qui donne à la victime 72 heures pour payer la rançon avant que les informations volées ne soient rendues publiques. Si les victimes refusent de payer, les attaquants publient leurs noms et des liens pour télécharger les données confidentielles de l’entreprise sur leur site.
Le périmètre d’attaque d’Egregor est beaucoup plus étendu que celui de Ragnar Locker. Il a été observé alors qu’il ciblait des victimes à travers l’Amérique du Nord, l’Europe et certaines parties de la région APAC.
« Nous observons actuellement une hausse des ransomwares 2.0, c’est-à-dire des attaques ciblées qui ne cherchent pas à extorquer de l’argent en cryptant les données mais en menaçant de les publier. Ce faisant, non seulement la réputation des entreprises est mise en danger, mais elles s’exposent également à des poursuites si les données publiées enfreignent des réglementations comme la HIPAA ou la GDPR…», commente Dmitry Bestuzhev, responsable de l’équipe de recherche et d’analyse mondiale pour l’Amérique latine (GReAT).
« Les entreprises doivent prendre conscience qu’un ransomware est plus qu’un simple malware. En fait, il n’est pas rare que le ransomware soit la dernière étape d’une brèche dans le réseau. Au moment où le ransomware est déployé, l’attaquant a déjà effectué une reconnaissance du réseau, identifié les données confidentielles et les a exfiltrées. Il est important de mettre en place des bonnes pratiques : identifier l’attaque à un stade précoce, avant que les attaquants n’atteignent leur objectif final, peut permettre d’économiser beaucoup d’argent » ajoute Fedor Sinitsyn, expert en sécurité chez Kaspersky.
Pour en savoir plus sur Ransomware 2.0, consultez la page Securelist.
Les recommandations des experts de Kaspersky pour protéger les entreprises des ransomwares :
- Ne pas connecter les services de bureau à distance (tels que RDP) aux réseaux publics, sauf si cela est absolument nécessaire, et utiliser des mots de passe forts pour ces services.
- Maintenir les logiciels à jour sur tous les appareils. Pour éviter que des ransomwares n’exploitent les vulnérabilités, utiliser des outils capables de détecter automatiquement les vulnérabilités et télécharger et installer des correctifs.
- Installer dès qu’ils sont disponibles les correctifs des solutions VPN fournissant un accès aux employés distants et servant de passerelle dans votre réseau.
- Traiter avec prudence les pièces jointes de courriels ou les messages provenant de personnes inconnues voire ne pas les ouvrir en cas de doute.
- Utiliser des solutions comme Kaspersky Endpoint Detection and Response et Kaspersky Managed Detection and Response pour identifier et arrêter une attaque le plus en amont possible.
- Concentrer la stratégie de défense sur la détection des mouvements latéraux et l’exfiltration de données vers l’Internet en portant une attention particulière au trafic sortant pour détecter les connexions cybercriminelles. Sauvegarder régulièrement les données en veillant à pouvoir y accéder rapidement en cas d’urgence, si nécessaire.
- Pour protéger l’environnement de l’entreprise, sensibiliser les employés avec des formations spécifiques, comme celles qui sont proposées sur la plateforme de sensibilisation à la sécurité de Kaspersky..
- Pour les appareils personnels, utiliser une solution de sécurité comme Kaspersky Security Cloud qui assure une protection contre les malwares et annule les modifications apportées par les applications malveillantes.
- Pour les entreprises, il est possible d’améliorer la protection grâce à l’outil gratuit Anti-Ransomware Tool for Business de Kaspersky. La version mise à jour contient une fonction de prévention pour empêcher les ransomwares et autres menaces d’exploiter les vulnérabilités des logiciels et des applications. Elle est également utile pour les clients qui utilisent Windows 7 : avec la fin de la prise en charge de Windows 7, les nouvelles vulnérabilités de ce système ne seront plus corrigées par le développeur.
- Pour une meilleure protection, utiliser une solution de sécurité des points d’accès, telle que la Integrated Endpoint Security, qui fonctionne grâce à la prévention des exploits, la détection du comportement et un moteur de correction.