Prévisions des tendances des attaques de ransomware en 2024

Un rançongiciel est un logiciel malveillant qui chiffre les données des utilisateurs et exige une rançon. Les données importantes d'un utilisateur ou d'une organisation sont chiffrées afin d'empêcher l'accès aux fichiers, bases de données ou applications. Les pirates exigent ensuite une rançon pour rétablir l'accès à l'utilisateur.

Les rançongiciels sont souvent conçus pour se propager sur les réseaux et cibler les bases de données et les serveurs, ce qui peut rapidement paralyser une organisation entière. La menace posée par les rançongiciels s'accroît, causant des dommages et des coûts considérables aux entreprises et aux organismes gouvernementaux.

Un rapport sur les ransomwares du troisième trimestre 2023 de Cyble, une société qui collecte et analyse des informations sur les cyberattaques américaines actuelles et potentielles, montre que de plus en plus de vulnérabilités de sécurité ont été exploitées par des pirates pour propager des ransomwares et autres logiciels malveillants ces derniers mois.

Voici quelques tendances d'attaques de ransomware qui devraient se produire dans un avenir proche, annoncées par le centre de recherche en cybersécurité de Cyble, Cyble Research & Intelligence Labs (CRIL) :

1. Le secteur de la santé est dans le collimateur des ransomwares

Alors que le premier semestre a été marqué par une augmentation des attaques de rançongiciels contre le secteur manufacturier, les tendances récentes montrent un recentrage sur la santé. Ce secteur figure désormais parmi les cinq principaux secteurs ciblés par les groupes de rançongiciels, représentant près d'un quart de toutes les attaques.

Ces attaques sont spécifiquement motivées par le désir de collecter des données sur les informations de santé protégées (PHI) et d’autres données sensibles auxquelles les prestataires et organisations de soins de santé ont accès, et une fois ces données collectées, les pirates les vendront sur le dark web.

Selon le rapport sur les rançongiciels de Cyble, le secteur de la santé est particulièrement vulnérable aux attaques de rançongiciels, car sa surface d'attaque est extrêmement vaste : elle englobe de nombreux sites web, portails, des milliards d'objets connectés (IoT) et un vaste réseau de partenaires et de fournisseurs dans la chaîne d'approvisionnement. Par conséquent, un plan de cybersécurité standardisé pour le secteur est impératif afin de sécuriser ces données critiques et d'assurer le bon fonctionnement des fonctions essentielles de la santé.

Outre les soins de santé, les secteurs les plus ciblés au troisième trimestre 2023 selon le rapport de Cyble sont les services professionnels, les technologies de l'information et la construction.

2. Les organisations à revenus élevés sont la cible des ransomwares

Les auteurs de rançongiciels ciblent souvent les organisations à revenus élevés qui gèrent des sources de données sensibles. Cela contribue non seulement à renforcer leur réputation de menace sérieuse, mais augmente également leurs chances de percevoir une rançon.

Parce que les organisations à revenus élevés ont les moyens financiers de payer les rançons importantes exigées par les pirates informatiques, elles sont également plus vulnérables à une image ternie par des cyberattaques.

3. Les États-Unis sont le pays le plus ciblé par les ransomwares

Le rapport de Cyble a révélé que les États-Unis sont le pays le plus ciblé par les opérateurs de ransomware, les États-Unis étant confrontés à plus d’attaques de ransomware au cours du seul troisième trimestre 2023 que les 10 pays suivants réunis.

Les experts de Cyble expliquent ce phénomène par le rôle particulier des États-Unis, devenus un pays fortement numérisé et jouissant d'un fort rayonnement international. En raison de facteurs géopolitiques, les États-Unis constituent également une cible privilégiée pour les groupes hacktivistes qui utilisent les rançongiciels pour atteindre leurs objectifs, en raison d'injustices sociales perçues ou pour protester contre leurs politiques intérieures et étrangères.

Les pays ayant enregistré le plus grand nombre d'attaques de ransomware après les États-Unis au troisième trimestre 2023 sont le Royaume-Uni, l'Italie et l'Allemagne.

4. Le ransomware LockBit reste une menace potentielle

Bien que le ransomware LockBit ait débuté comme une famille unique de ransomwares, il a depuis évolué à plusieurs reprises, la dernière version étant baptisée « LockBit 3.0 ». LockBit comprend une famille de ransomwares fonctionnant selon le modèle RaaS (ransomware-as-a-service).

Le RaaS est un modèle économique qui implique que les utilisateurs paient pour accéder à un type particulier de rançongiciel afin de l'utiliser pour leurs propres attaques. L'utilisateur devient alors affilié et son paiement peut prendre la forme d'un forfait ou d'un abonnement. En résumé, les créateurs de LockBit ont trouvé un moyen de générer des profits supplémentaires grâce à ce modèle RaaS, et peuvent même percevoir une rançon de la part de la victime.

Bien que le nombre total d'attaques de ransomware LockBit ait été légèrement inférieur à celui du trimestre précédent, en baisse de 5 %, elles ont tout de même ciblé le plus grand nombre de victimes, avec 240 victimes confirmées au troisième trimestre 2023.

Le troisième trimestre 2023 a vu une augmentation des attaques de nouveaux groupes de ransomware tels que Cactus, INC Ransom, Metaencryptor, ThreeAM, Knight Ransomware, Cyclop Group et MedusaLocker, ce qui suggère que même si ces groupes n'ont pas le même profil et la même présence mondiale que des groupes plus importants comme LockBit, ils constituent toujours des menaces potentielles.

5. Adoption croissante des langages de programmation Rust et GoLang dans les nouvelles variantes de ransomware

Les groupes de rançongiciels cherchent constamment à rendre leurs opérations plus difficiles, voire impossibles à détecter ou à analyser. Il est donc difficile pour les victimes, les experts en cybersécurité et les gouvernements d'analyser et d'étudier les rançongiciels, leurs méthodes d'infection et leurs opérations afin de trouver des solutions adaptées.

Cependant, les modèles récents observés par Cyble montrent la popularité croissante des deux langages de programmation Rust et GoLang parmi les groupes de ransomware bien connus tels que Hive, Agenda, Luna et RansomExx.

La raison pour laquelle les pirates utilisent les langages de programmation Rust et GoLang est que l'utilisation de ces langages de programmation rend plus difficile l'analyse de l'activité du ransomware sur le système de la victime et facilite la personnalisation pour cibler plusieurs systèmes d'exploitation tout en augmentant le taux d'infection.

Comment les organisations ont-elles réagi à l’augmentation des attaques de ransomware ?

La récente augmentation des attaques par rançongiciel a attiré l'attention des gouvernements et des organismes de réglementation du monde entier, qui ont mis en place des mesures pour réduire leur impact et leur incidence. Les entreprises ont également pris les choses en main en mettant en œuvre des mesures pour prévenir les risques et atténuer leur impact.

1. Mettre l’accent sur la formation des employés

Les employés d'une organisation constituent souvent la première ligne de défense contre toute attaque, et les rançongiciels ne font pas exception. Par conséquent, les entreprises ont renforcé leurs programmes de sensibilisation et de formation à la cybersécurité, mis en place des sessions de formation obligatoires et promu une culture de sensibilisation à la cybersécurité. Parmi les exemples typiques, on peut citer les formations sur l'identification des tentatives de phishing, la gestion des pièces jointes suspectes et l'identification des tentatives de phishing.

2. Planification de la réponse aux incidents

Malgré les efforts de prévention, des attaques par rançongiciel peuvent encore se produire pour diverses raisons. Les organisations en ont tenu compte et ont renforcé leurs efforts pour développer des capacités de réponse complètes à ces incidents. Cela comprend la mise en place de canaux de communication pour informer rapidement les autorités, le renforcement de la sécurité interne, l'évaluation de la réponse de l'équipe de sécurité informatique et l'isolement des systèmes/produits affectés.

3. Sauvegarde et restauration avancées

Les attaques par rançongiciel ont deux objectifs principaux : accéder aux données sensibles et les chiffrer afin qu'elles ne puissent pas être utilisées par l'organisation ciblée. Pour faire face à ce risque, les organisations se concentrent désormais davantage sur la sauvegarde des données sensibles et la mise en place de processus complets de récupération des données en cas de cyberattaque.

4. Mettre en œuvre une sécurité zéro confiance et une authentification multifacteur

Les groupes de ransomware précédents ont exploité l'élément humain pour déclencher ou améliorer les attaques de ransomware par le biais d'acteurs malveillants et d'attaques de phishing, etc. En réponse, les entreprises ont mis en œuvre des modèles de sécurité zéro confiance et une authentification multifacteur sur toutes les plateformes et données critiques, nécessitant plusieurs niveaux d'authentification vérifiée pour accorder l'accès aux données sensibles.

5. Partager des informations et coopérer avec les forces de l'ordre

Les organisations du secteur ont créé des plateformes de renseignement et d'analyse afin de mutualiser leurs ressources et leurs informations pour lutter contre les futures tentatives de rançongiciels. Elles travaillent également en étroite collaboration avec les forces de l'ordre et les organismes de réglementation pour signaler les tentatives de rançongiciels et contribuer à diagnostiquer les failles de sécurité.

6. Accroître l’adoption/l’utilisation des plateformes de renseignement sur les menaces

En appliquant de nouvelles technologies telles que l’intelligence artificielle (IA) et l’apprentissage automatique aux plateformes de renseignement sur les menaces, les organisations peuvent tirer parti de l’expertise, de la détection des anomalies et de l’analyse comportementale pour recueillir des renseignements sur les menaces en temps réel qui peuvent aider à atténuer les attaques de ransomware.

7. Se concentrer sur la gestion des vulnérabilités

Ces dernières années, de nombreuses vulnérabilités de sécurité ont été découvertes, notamment une vulnérabilité liée à la solution de transfert de fichiers MOVEit Transfer, qui pourrait permettre à des attaquants de voler des informations de bases de données clients, ou encore une vulnérabilité liée au célèbre logiciel de gestion d'impression PaperCut, qui compte environ 100 millions d'utilisateurs dans plus de 70 000 entreprises à travers le monde. Par conséquent, les organisations ont mis en place des protocoles de sécurité et une gestion des vulnérabilités pour garantir que tous les logiciels critiques sont régulièrement mis à jour et corrigés.

8. Assurance de la chaîne d'approvisionnement et gestion des risques fournisseurs

Lorsque les criminels par rançongiciel ne parviennent pas à pénétrer une organisation, ils ciblent généralement sa chaîne d'approvisionnement par l'intermédiaire de ses fournisseurs, partenaires et tiers. C'est pourquoi les organisations ont mis en place des évaluations des risques fournisseurs afin de garantir la sécurité et la protection constante de l'ensemble de leur chaîne d'approvisionnement contre d'éventuelles attaques par rançongiciel.