Prévision des tendances des attaques de ransomware en 2024

Un rançongiciel est un logiciel malveillant qui chiffre les données des utilisateurs et exige une rançon. Les données importantes d'un utilisateur ou d'une organisation sont chiffrées afin d'empêcher l'accès aux fichiers, bases de données ou applications. Les pirates exigent ensuite une rançon pour rétablir l'accès à l'utilisateur.

Les rançongiciels sont souvent conçus pour se propager sur les réseaux et cibler les bases de données et les serveurs, ce qui peut rapidement paralyser une organisation entière. La menace que représentent les rançongiciels s'accroît, causant des dommages et des coûts considérables aux entreprises et aux organismes gouvernementaux.

Un rapport sur les ransomwares du troisième trimestre 2023 de Cyble, une société qui collecte et analyse des informations sur les cyberattaques américaines actuelles et potentielles, montre que de plus en plus de vulnérabilités de sécurité ont été exploitées par des pirates pour propager des ransomwares et autres logiciels malveillants au cours des derniers mois.

Voici quelques tendances en matière d'attaques de ransomware qui devraient se produire dans un avenir proche, annoncées par le Cyber ​​Security Research Center de Cyble, Cyble Research & Intelligence Labs (CRIL) :

1. Le secteur de la santé est dans le collimateur des ransomwares

Alors que le premier semestre a été marqué par une augmentation des attaques de rançongiciels contre le secteur manufacturier, les tendances récentes montrent un recentrage sur le secteur de la santé. Ce secteur figure désormais parmi les cinq principaux secteurs ciblés par les groupes de rançongiciels, représentant près d'un quart de toutes les attaques.

Ces attaques sont spécifiquement motivées par le désir de collecter des données sur les informations de santé protégées (PHI) et d’autres données sensibles auxquelles les prestataires et organisations de soins de santé ont accès, et une fois ces données collectées, les pirates les vendront sur le dark web.

Selon le rapport de Cyble sur les rançongiciels, le secteur de la santé est particulièrement vulnérable aux attaques de rançongiciels, car sa surface d'attaque est extrêmement vaste et s'étend sur de multiples sites web, portails, des milliards d'objets connectés (IoT) et un vaste réseau de partenaires et de fournisseurs au sein de la chaîne d'approvisionnement. Par conséquent, un plan de cybersécurité standardisé pour le secteur est impératif afin de sécuriser ces données critiques et d'assurer le bon fonctionnement des fonctions essentielles de la santé.

Outre la santé, les secteurs les plus ciblés au troisième trimestre 2023 selon le rapport de Cyble sont les services professionnels, les technologies de l'information et la construction.

2. Les organisations à revenus élevés sont la cible des ransomwares

Les auteurs de rançongiciels ciblent souvent les organisations à revenus élevés qui gèrent des sources de données sensibles. Cela contribue non seulement à renforcer leur réputation de menace sérieuse, mais aussi à accroître leurs chances de percevoir une rançon.

Parce que les organisations à revenus élevés ont les moyens financiers de payer les rançons importantes exigées par les pirates informatiques, elles sont également plus vulnérables à une image ternie par des cyberattaques.

3. Les États-Unis sont le pays le plus ciblé par les ransomwares

Le rapport de Cyble a révélé que les États-Unis sont le pays le plus ciblé par les opérateurs de ransomware, les États-Unis étant confrontés à plus d'attaques de ransomware au troisième trimestre 2023 que les 10 pays suivants réunis.

Les experts de Cyble expliquent ce phénomène par le rôle unique des États-Unis, devenus un pays hautement numérisé, jouissant d'un fort engagement et d'une portée internationale considérables. En raison de facteurs géopolitiques, les États-Unis constituent également une cible privilégiée pour les groupes hacktivistes qui utilisent les rançongiciels pour atteindre leurs objectifs, en raison d'un sentiment d'injustice sociale ou pour protester contre les politiques intérieures et étrangères.

Les pays ayant enregistré le plus grand nombre d'attaques de ransomware après les États-Unis au troisième trimestre 2023 sont le Royaume-Uni, l'Italie et l'Allemagne.

4. LockBit Ransomware est toujours une menace potentielle

Bien que le rançongiciel LockBit ait débuté comme une famille unique, il a depuis évolué à plusieurs reprises, la dernière version étant baptisée « LockBit 3.0 ». LockBit comprend une famille de rançongiciels fonctionnant selon le modèle de rançongiciel en tant que service (RaaS).

Le RaaS est un modèle économique qui permet aux utilisateurs de payer pour accéder à un type particulier de rançongiciel afin de l'utiliser pour leurs propres attaques. Cet utilisateur devient alors un affilié et son paiement peut prendre la forme d'un forfait ou d'un abonnement. En résumé, les créateurs de LockBit ont trouvé un moyen de générer des profits supplémentaires grâce à ce modèle RaaS, et peuvent même percevoir une rançon de la part de la victime.

Bien que le nombre total d'attaques de ransomware LockBit ait été légèrement inférieur à celui du trimestre précédent, en baisse de 5 %, elles ont tout de même ciblé le plus grand nombre de victimes, avec 240 victimes confirmées au troisième trimestre 2023.

Le troisième trimestre 2023 a vu une augmentation des attaques de nouveaux groupes de ransomware tels que Cactus, INC Ransom, Metaencryptor, ThreeAM, Knight Ransomware, Cyclop Group et MedusaLocker, ce qui suggère que même si ces groupes n'ont pas le même profil et la même présence mondiale que des groupes plus importants comme LockBit, ils constituent toujours des menaces potentielles.

5. Adoption croissante des langages de programmation Rust et GoLang dans les nouvelles variantes de ransomware

Les groupes de rançongiciels cherchent constamment à rendre leurs opérations plus difficiles, voire impossibles à détecter ou à analyser. Il est donc difficile pour les victimes, les experts en cybersécurité et les gouvernements d'analyser et d'étudier les rançongiciels, leurs méthodes d'infection et leurs opérations afin de trouver des solutions adaptées.

Cependant, les tendances récentes observées par Cyble montrent la popularité croissante des deux langages de programmation Rust et GoLang parmi les groupes de ransomware bien connus tels que Hive, Agenda, Luna et RansomExx.

La raison pour laquelle les pirates utilisent les langages de programmation Rust et GoLang est que l'utilisation de ces langages de programmation rend plus difficile l'analyse de l'activité du ransomware sur le système de la victime et facilite la personnalisation pour cibler plusieurs systèmes d'exploitation et augmenter le taux d'infection.

Comment les organisations ont-elles réagi à l’augmentation des attaques de ransomware ?

La récente augmentation des attaques par rançongiciel a attiré l'attention des gouvernements et des organismes de réglementation du monde entier, qui ont mis en place des mesures pour réduire leur impact et leur incidence. Les entreprises ont également pris les choses en main en mettant en œuvre des mesures pour prévenir les risques et minimiser leur impact.

1. Mettre l'accent sur la formation des employés

Les employés d'une organisation constituent souvent la première ligne de défense contre toute attaque, et les rançongiciels ne font pas exception. Par conséquent, les entreprises ont renforcé leurs programmes de sensibilisation et de formation à la cybersécurité, mis en place des sessions de formation obligatoires et promu une culture de cybersensibilisation. Parmi les exemples typiques, on peut citer les formations sur l'identification des tentatives d'hameçonnage, la gestion des pièces jointes suspectes et l'identification des tentatives d'hameçonnage.

2. Planification de la réponse aux incidents

Malgré les efforts de prévention, des attaques par rançongiciel peuvent encore se produire pour diverses raisons. Les organisations en ont tenu compte et ont renforcé leurs efforts pour développer des capacités de réponse complètes à ces incidents. Cela comprend la mise en place de canaux de communication pour alerter rapidement les autorités, le renforcement de la sécurité interne, l'évaluation de la réponse de l'équipe de sécurité informatique et l'isolement des systèmes/produits affectés.

3. Sauvegarde et restauration avancées

Les attaques par rançongiciel ont deux objectifs principaux : accéder aux données sensibles et les chiffrer afin qu'elles ne puissent pas être utilisées par l'organisation ciblée. Pour faire face à ce risque, les organisations se concentrent désormais davantage sur la sauvegarde des données sensibles et la mise en place de processus complets de récupération des données en cas de cyberattaque.

4. Mettre en œuvre un modèle de sécurité zéro confiance et une authentification multifacteur

Les groupes de ransomware précédents ont exploité l'élément humain pour déclencher ou améliorer les attaques de ransomware par le biais d'acteurs malveillants et d'attaques de phishing, etc. En réponse, les entreprises ont mis en œuvre des modèles de sécurité zéro confiance et une authentification multifacteur sur toutes les plateformes et données critiques, nécessitant plusieurs niveaux d'authentification vérifiée pour accorder l'accès aux données sensibles.

5. Partager des informations et coopérer avec les forces de l'ordre

Les organisations du secteur ont créé des centres de renseignement et d'analyse afin de mutualiser leurs ressources et leurs informations pour lutter contre les futures tentatives de rançongiciels. Elles travaillent également en étroite collaboration avec les forces de l'ordre et les organismes de réglementation pour signaler les tentatives de rançongiciels et contribuer à diagnostiquer les failles de sécurité.

6. Accroître l’adoption et l’utilisation des plateformes de renseignement sur les menaces

En appliquant de nouvelles technologies telles que l’intelligence artificielle (IA) et l’apprentissage automatique aux plateformes de renseignement sur les menaces, les organisations peuvent tirer parti de l’expertise, de la détection des anomalies et de l’analyse comportementale pour recueillir des renseignements sur les menaces en temps réel qui peuvent aider à atténuer les attaques de ransomware.

7. Se concentrer sur la gestion des vulnérabilités

Ces derniers temps, de nombreuses failles de sécurité ont été découvertes, notamment une vulnérabilité liée à la solution de transfert de fichiers MOVEit Transfer, qui pourrait permettre à des attaquants de voler des informations de bases de données clients, ou encore une vulnérabilité liée au célèbre logiciel de gestion d'impression PaperCut, qui compte environ 100 millions d'utilisateurs dans plus de 70 000 entreprises à travers le monde. Par conséquent, les organisations ont mis en place des protocoles de sécurité et une gestion des vulnérabilités afin de garantir que tous les logiciels importants soient régulièrement mis à jour et corrigés.

8. Assurance de la chaîne d'approvisionnement et gestion des risques fournisseurs

Bien que les opérateurs de rançongiciels ne parviennent pas à pénétrer une organisation, ils ciblent souvent sa chaîne d'approvisionnement par l'intermédiaire de fournisseurs, de partenaires et de tiers. C'est pourquoi les organisations ont mis en place des évaluations des risques liés aux fournisseurs afin de garantir la sécurité et la protection constante de l'ensemble de leur chaîne d'approvisionnement contre les attaques potentielles de rançongiciels.