![\"\u00c9tat](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock_668257165-1.jpg\" "\\"De")
<\/p>\n<\/p>\n
Depuis le d\u00e9but de l\u2019ann\u00e9e 2020, les attaques par ransomware se multiplient et font la Une des journaux. Tous les professionnels, grandes entreprises comme petites structures, semblent vuln\u00e9rables face \u00e0 une menace qui \u00e9volue. Et le nombre de cas impact\u00e9s avec plus ou moins de r\u00e9ussite pour les attaquants devient inqui\u00e9tant. Plong\u00e9e en eaux troubles avec le principal ph\u00e9nom\u00e8ne de cyber-criminalit\u00e9 de 2020.<\/strong><\/p>\n \u00ab\u00a0La criminalit\u00e9 organis\u00e9e s\u2019est empar\u00e9e de l\u2019outil cyber pour ran\u00e7onner ses victimes\u00a0\u00bb<\/em>, constatait Guillaume Poupard<\/strong>, Directeur g\u00e9n\u00e9ral de l\u2019ANSSI, devant les s\u00e9nateurs fran\u00e7ais au mois de novembre<\/a>. En effet, que ce soit en France, en Europe ou \u00e0 travers le monde, les ransomwares n\u2019en finissent plus de s\u00e9vir. De la compagnie d\u2019assurance du Sultanat d\u2019Oman SAOG au groupe de spiritueux italien Campari, en passant par Bouygues Construction et la cour de justice br\u00e9silienne, personne ne semble y \u00e9chapper. De plus, la tendance est \u00e0 la professionnalisation du ransomware, avec un v\u00e9ritable \u00e9cosyst\u00e8me \u00e9conomique entre cr\u00e9ateurs des malwares et op\u00e9rateurs de ceux-ci. Un business \u00e0 part enti\u00e8re avec niveau de partenariat et remises... Cette ann\u00e9e 2020 a confirm\u00e9 la mont\u00e9e en puissance de la menace des ransomwares, avec des attaques de mieux en mieux pr\u00e9par\u00e9es et organis\u00e9es, utilisant plus de technicit\u00e9. Une tendance de fond qui incite les entreprises \u00e0 r\u00e9viser leurs parades de d\u00e9fense et \u00e0 renforcer leur pouvoir de contre-attaque.<\/p>\n <\/p>\n Depuis aussi longtemps que les ransomwares existent, leur objectif est rest\u00e9 inchang\u00e9\u00a0: exiger une ran\u00e7on. M\u00eame constat d\u2019un point de vue de la technique, puisque peu de choses ont \u00e9volu\u00e9es. En effet, le mode op\u00e9ratoire de ce malware reste fonci\u00e8rement le m\u00eame\u00a0: parcourir un disque, rechercher des fichiers selon leurs extensions et chiffrer ce qui peut avoir le plus d\u2019impact sur l\u2019activit\u00e9 de la cible. Les parties chiffr\u00e9es d\u00e9pendront de la strat\u00e9gie des cyber-criminels ; avoir acc\u00e8s \u00e0 l\u2019ordinateur sans pouvoir avoir acc\u00e8s au fichier sera parfois pire que d\u2019avoir un ordinateur qui ne d\u00e9marre plus. Pour cette raison, les cyber-criminels font attention de ne chiffrer que certaines extensions. En revanche, force est de constater que les ransomwares \u00e9voluent en mati\u00e8re de propagation et d\u2019infection.<\/p>\n Les op\u00e9rateurs des ransomwares suivent les actualit\u00e9s des derni\u00e8res vuln\u00e9rabilit\u00e9s au sein des syst\u00e8mes informatiques pour outrepasser les protections<\/em><\/p>\n L\u2019extorsion de fonds en tant que telle a aussi nettement \u00e9volu\u00e9 depuis ses d\u00e9buts. Les demandes de ran\u00e7on par PayPal n\u2019ont plus la faveur des attaquants, car trop tra\u00e7ables, et la plupart des cyber-criminels exigent le paiement des ran\u00e7ons par bitcoins. Un moyen de paiement qui appara\u00eet comme plus stable pour les op\u00e9rateurs de ransomware, ainsi que plus complexe pour suivre la ran\u00e7on \u00e0 travers les plateformes de mixage (Smartmixer, BitcoinMix\u2026). D\u00e9but 2020, le FBI indiquait d\u2019ailleurs qu\u2019entre 2013 et 2019, les extorsions de fonds li\u00e9es aux ransomwares aux \u00c9tats-Unis auraient repr\u00e9sent\u00e9 pas moins de 144,35\u00a0millions de dollars en bitcoins<\/a>.<\/p>\n En mati\u00e8re de propagation, \u00ab\u00a0les op\u00e9rateurs des ransomwares suivent les actualit\u00e9s des derni\u00e8res vuln\u00e9rabilit\u00e9s au sein des syst\u00e8mes informatiques pour outrepasser les protections\u00a0\u00bb<\/em>, expose Thomas Gendron<\/strong>, Malware Research Engineer chez Vade Secure. Depuis le milieu d\u2019ann\u00e9e 2019, plusieurs VPN ont \u00e9t\u00e9 expos\u00e9s \u00e0 plusieurs vuln\u00e9rabilit\u00e9s majeures<\/a>, qui ont tap\u00e9 dans l\u2019\u0153il de plusieurs groupes de cyber-criminels pour lancer des vagues de ransomwares.<\/p>\n Si l\u2019email et son fichier infect\u00e9 restent populaires, d\u2019autres formes d\u2019infection ont \u00e9t\u00e9 constat\u00e9es<\/strong> ces derniers mois. Fuites de mots de passe utilis\u00e9 sur les VPN, failles VPN, diffusion par botnet\u2026 les op\u00e9rateurs de ransomware semblent disposer aujourd\u2019hui d\u2019un arsenal cons\u00e9quent pour r\u00e9aliser la propagation du ransomware. \u00a0Une fois l\u2019infection r\u00e9ussie, les cyber-criminels vont tenter de lat\u00e9raliser leur attaque et faire d\u00e9tonner la charge du ransomware sur un maximum de postes ou machines. Exemple r\u00e9cent avec la faille Zerologon<\/a>, massivement exploit\u00e9e par des op\u00e9rateurs du ransomware Ryuk. Gr\u00e2ce \u00e0 cette faille, l\u2019op\u00e9rateur peut atteindre rapidement l\u2019Active Directory en tant qu\u2019administrateur, avant de lat\u00e9raliser son attaque au sein du parc informatique et de r\u00e9cup\u00e9rer l\u2019acc\u00e8s \u00e0 des comptes \u00e0 privil\u00e8ges. Infection, lat\u00e9ralisation, \u00e9l\u00e9vation de privil\u00e8ges\u00a0: il ne restera plus alors au cyber-criminel \u00e0 op\u00e9rer son \u00ab\u00a0action on objective<\/em>\u00a0\u00bb.<\/p>\n <\/p>\n La premi\u00e8re grande tendance \u00e0 retenir en mati\u00e8re de ransomwares\u00a0tient forc\u00e9ment au contexte sanitaire extraordinaire. Alors que d'habitude les campagnes de phishing se r\u00e9v\u00e8lent peu \u00e9labor\u00e9es, les experts ont not\u00e9 un effort des cyber-criminels dans l'approche par social engineering. Autour de l'actualit\u00e9 anxiog\u00e8ne sanitaire et \u00e9conomique, les leviers pour jouer sur des craintes \u00e9taient tout trouv\u00e9s comme de fausses commandes de masques ou des fausses lettres de licenciement... \u00ab\u00a0Les entreprises ont fortement investi en mati\u00e8re de protection de leurs p\u00e9rim\u00e8tres, avec des outils de protection des postes, une configuration s\u00e9curit\u00e9 du SI, etc<\/em>., explique Adrien Gendre<\/strong>, Chief Solution Architect chez Vade Secure. Les op\u00e9rateurs de ransomwares cherchent donc des moyens de contourner cela et d\u2019acc\u00e9der \u00e0 l\u2019int\u00e9rieur des entreprises. Le phishing est le moyen de compromettre des boites aux lettres et ainsi envoyer le ransomware ou m\u00eame un spear phishing de l\u2019int\u00e9rieur de l\u2019entreprise\u00a0\u00bb<\/em>.<\/p>\n Et les m\u00e9thodes pour pousser \u00e0 payer les ran\u00e7ons se diversifient \u00e9galement. En octobre 2020, un groupe de cyber-criminels a ainsi publi\u00e9 sur le dark web une partie des donn\u00e9es de sant\u00e9<\/a> qu\u2019ils avaient vol\u00e9 \u00e0 une soci\u00e9t\u00e9 finlandaise \u00e0 la t\u00eate de centres de psychoth\u00e9rapie\u2026 en 2018\u00a0! Devant le refus de l\u2019entreprise de sant\u00e9 de payer la ran\u00e7on, les cyber-criminels s\u2019\u00e9taient tourn\u00e9s vers les familles de patients, avant de d\u00e9cider de revendre au plus offrant les pr\u00e9cieuses donn\u00e9es\u2026 Autre exemple en date avec des attaquants qui auraient investi le r\u00e9seau social Facebook<\/a>, avec de fausses publicit\u00e9s malveillantes imagin\u00e9es pour forcer un groupe de spiritueux italien \u00e0 payer une ran\u00e7on.<\/p>\n Mais ces attaques ressemblent davantage \u00e0 des attaques opportunistes. Et ne doivent pas faire oublier la principale tendance de l'ann\u00e9e 2020\u00a0: la professionnalisation autour des ransomwares.<\/p>\n <\/p>\n Apparu en 2016, la tendance du ransomware-as-a-service<\/em>, ou RaaS, se confirme donc en 2020. \u00ab\u00a0Il est dor\u00e9navant possible de payer pour acheter des ransomwares, voire des tutoriels pour apprendre \u00e0 les utiliser<\/em>, informe Edouard Simp\u00e8re<\/strong>, Responsable Cyber Threat Intelligencechez Stormshield. Tout cela est vendu comme un service, \u00e0 l\u2019image des ventes de malware comme des outils tous pr\u00eats que l\u2019on peut trouver depuis longtemps sur le dark web\u00a0\u00bb<\/em>. Les logiciels de ran\u00e7on ou d\u2019extorsion se vendent sur le dark ou le deep web et deviennent des produits \u00e0 part enti\u00e8re, avec les r\u00e8gles du march\u00e9 qui s\u2019appliquent (concurrence, etc.). Ainsi, certains acteurs du cyber-crime se sont structur\u00e9s en se sp\u00e9cialisant chacun dans une t\u00e2che. Mais ce n\u2019est pas tout\u00a0: \u00ab\u00a0En se professionnalisant, les attaquants ont chacun d\u00e9velopp\u00e9 leur sp\u00e9cialit\u00e9\u00a0: d\u00e9veloppeur de ransomware, sp\u00e9cialiste du phishing, op\u00e9rateur pour d\u00e9poser la charge\u2026\u00a0\u00bb<\/em>, sp\u00e9cifie Thomas Gendron. \u00a0Formant un \u00e9cosyst\u00e8me complexe, plus dynamique et plus performant, ces cyber-criminels \u00e9vitent aussi des interruptions dans leurs op\u00e9rations importantes en cas d\u2019arrestation d\u2019un maillon de la cha\u00eene.<\/p>\n Il est dor\u00e9navant possible de payer pour acheter des ransomwares, les utiliser \u00e0 l\u2019aide de tutoriels, les lancer depuis une interface, etc. Tout cela est vendu comme un service<\/em><\/p>\n Cette professionnalisation des attaquants vient compl\u00e9ter la mont\u00e9e en puissance des attaques cibl\u00e9es \u00e0 destination de grandes entreprises ou organisations. \u00ab\u00a0La tendance actuellement des attaques ransomware montrent une am\u00e9lioration des moyens d\u2019infections utilis\u00e9es. L\u2019utilisation d\u2019outils pour d\u00e9livrer le ransomware au meilleur endroit se rapproche de la technicit\u00e9 de certains groupes APT ou FIN et montre une intelligence op\u00e9rationnelle plus pointue qu\u2019auparavant\u00a0\u00bb<\/em>, explique Gr\u00e9gory Baudeau<\/strong>, Technical Leader Cyber Threat Intelligence chez Airbus CyberSecurity. Aux c\u00f4t\u00e9s de Fr\u00e9d\u00e9ric Boissel<\/strong>, chercheur associ\u00e9, et Quentin Michaud<\/strong>, analyste, Gr\u00e9gory Baudeau a r\u00e9cemment fourni la mod\u00e9lisation d\u2019une op\u00e9ration d\u00e9livrant une charge Sodinokibi (aussi appel\u00e9 REvil ou Sodin) rencontr\u00e9e lors d\u2019une r\u00e9ponse sur incident. Ce RaaS, disponible depuis avril 2019, a cibl\u00e9 une multitude de secteurs comme l\u2019\u00e9nergie, la finance, le b\u00e2timent, le biom\u00e9dical, l\u2019a\u00e9ronautique, ou encore le secteur des t\u00e9l\u00e9communications. L\u2019une des sp\u00e9cificit\u00e9s de ce ransomware est aussi de publier les donn\u00e9es exfiltr\u00e9es sur des forums du dark web, voire de les mettre aux ench\u00e8res. C\u2019est ce qui s\u2019est pass\u00e9 en juin dernier aux \u00c9tats-Unis\u00a0: le groupe derri\u00e8re Sodinokibi aurait mis aux ench\u00e8res 50 Go et 1,2 To de donn\u00e9es<\/a> appartenant \u00e0 deux cabinets d\u2019avocats am\u00e9ricains. Ainsi, au vol de donn\u00e9es et \u00e0 l\u2019extorsion de fonds s\u2019ajoutent de nouveaux moyens pour les cyber-criminels de tirer profit de leurs attaques.<\/p>\n Enfin, \u00e0 l\u2019heure o\u00f9 les objets connect\u00e9s font partie de notre quotidien et de celui des entreprises, il faut questionner la surface d\u2019attaque de celles-ci. Que ce soit le cas de cyberattaques av\u00e9r\u00e9es contre des caisses enregistreuses des supermarch\u00e9s ou des imprimantes, ou encore des Proof of Concept men\u00e9es contre des machines \u00e0 caf\u00e9 intelligentes<\/a>, la surface s\u2019\u00e9largit avec des \u00e9l\u00e9ments disposant d\u2019un faible niveau de s\u00e9curit\u00e9. \u00ab\u00a0Cette surface d\u2019attaque laisse des portes d\u2019entr\u00e9e accessibles, les attaquants font du rep\u00e9rage et attendent le bon moment, la bonne cible, le bon endroit pour d\u00e9ployer leurs ransomwares. C\u2019est le d\u00e9but de la pelote de laine\u00a0\u00bb<\/em>, analyse Edouard Simpere.<\/p>\n Le milieu du ransomware se professionnalise et les attaques se veulent toujours plus sophistiqu\u00e9es et pr\u00e9cises.<\/strong> Cela rend leur d\u00e9tection de plus en plus complexe pour les entreprises qui elles, doivent se mettre en ordre de bataille contre cette tendance cyber-criminelle.<\/p>\n <\/p>\n Est-il devenu acceptable de payer un ransomware\u00a0?<\/strong> La r\u00e9ponse est non. Pourtant, la question de payer continue de se poser, notamment pour les infrastructures comme les h\u00f4pitaux par exemple. Des infrastructures critiques qui, d\u00e8s lors qu\u2019elles sont victimes d\u2019un ransomware<\/a>, se retrouvent dans l\u2019incapacit\u00e9 de mener \u00e0 bien leurs activit\u00e9s vitales. Car d\u2019un point de vue op\u00e9rationnel, tenter de contourner un ransomware est complexe et prend du temps\u00a0; un luxe que la plupart des structures ne peuvent pas se permettre. De plus, d\u2019un point de vue moral, il ne faut pas oublier qu'un ransomware est un chantage. Le fait de payer indiquera une faiblesse, difficile voire impossible \u00e0 d\u00e9fendre m\u00e9diatiquement et \u00e9thiquement. Enfin, strat\u00e9giquement, il n'y a aucune garantie d'un retour \u00e0 la normale apr\u00e8s un paiement, que ce soit pour la restauration des donn\u00e9es ou au niveau d'une backdoor laiss\u00e9e par l'attaquant. \u00ab\u00a0Payer un ransomware, c\u2019est alimenter un business, et dans le principe, \u00e7a ne doit jamais \u00eatre acceptable. Il faut donc mettre en place des alternatives pour ne pas en arriver l\u00e0\u00a0\u00bb<\/em>, alerte Adrien Gendre. Aux \u00c9tats-Unis par exemple, le Tr\u00e9sor am\u00e9ricain tente de mettre un terme au paiement des ran\u00e7ons par les entreprises, en infligeant des p\u00e9nalit\u00e9s civiles aux soci\u00e9t\u00e9s tierces<\/a> (comme les cyber assurances, les entreprises de cybers\u00e9curit\u00e9, etc.) qui aideraient les structures cibl\u00e9es \u00e0 s\u2019acquitter de leur ran\u00e7on. L\u2019objectif \u00e0 atteindre pour les organisations est de r\u00e9ussir \u00e0 se mettre dans une posture leur permettant de ne jamais avoir \u00e0 prendre la d\u00e9cision de payer ou non une ran\u00e7on.<\/p>\n Dans le m\u00eame temps, les \u00e9diteurs et acteurs cyber se positionnent aussi face \u00e0 l\u2019augmentation de la surface d\u2019attaque et \u00e0 la propagation des ransomwares, en d\u00e9veloppant des solutions cyber adapt\u00e9es, permettant d\u2019accompagner les structures. La prise de conscience semble donc en marche, pour se pr\u00e9munir au mieux contre ce type de malwares.<\/p>\n Plusieurs dispositifs sont possibles pour lutter contre les attaques d\u00e9livrant des ransomwares, comme la formation des collaborateurs \u00e0 l\u2019hygi\u00e8ne num\u00e9rique<\/strong>, la mise en place d\u2019une bonne politique de patch management, l\u2019adoption d\u2019une politique de gestion des droits et des autorisations rigoureuses (forcer le changement des mots de passe tous les 90\u00a0jours pour les comptes \u00e0 privil\u00e8ges, disposer d\u2019une authentification \u00e0 double facteur, etc.). \u00ab\u00a0Une mani\u00e8re de se pr\u00e9munir des ransomwares actuellement est d\u2019avoir un niveau de protection et une hygi\u00e8ne suffisamment importante pour dissuader les op\u00e9rateurs d\u2019infections<\/em>, compl\u00e8te Gr\u00e9gory Baudeau. Il est important d\u2019avoir un niveau de formation des collaborateurs suffisant sur le phishing, une surveillance des \u00e9v\u00e9nements de s\u00e9curit\u00e9 sur les VPN, les AD et les \u00e9quipements ayant eu des failles critiques permettant l\u2019acc\u00e8s aux r\u00e9seaux ou aux \u00e9quipements centrales de l\u2019entreprise lors de six \u00e0 neuf derniers mois. Il est \u00e9galement important que les \u00e9quipes de s\u00e9curit\u00e9 se forment \u00e0 la d\u00e9tection de comportements suspects. Toutes les entreprises ou organisations devraient avoir des \u00e9quipes de r\u00e9ponse \u00e0 incident. Ainsi qu\u2019une capacit\u00e9 de coupure des services et une autre de restauration pour r\u00e9agir rapidement \u00e0 une intrusion, \u00e9viter si possible que la charge soit d\u00e9livr\u00e9e et pouvoir restaurer les services dans les plus brefs d\u00e9lais.\u00a0\u00bb<\/em>.<\/p>\n Au-del\u00e0 de ces moyens disponibles, il existe un pr\u00e9requis pour se d\u00e9fendre efficacement contre les ransomwares\u00a0: le backup<\/strong>. Chaque structure, chaque entreprise \u2013 m\u00eame les plus petites \u2013 doit mettre en place une politique de backup, et tous les syst\u00e8mes des organisations devraient \u00eatre dot\u00e9s de solutions de ce type. Le backup est la pierre angulaire d\u2019une politique anti ransomwares efficace, et cela passe notamment par la mise en place de syst\u00e8mes de sauvegardes non connect\u00e9es qui ne pourront pas se faire chiffrer le cas \u00e9ch\u00e9ant, ou encore par des proc\u00e9dures de contr\u00f4les r\u00e9guliers des backups. En avril 2019, l\u2019entreprise Fleury Michon a \u00e9t\u00e9 victime d\u2019un ransomware<\/a>, mettant \u00e0 l\u2019arr\u00eat son activit\u00e9 de production durant trois jours. Mais l\u2019entreprise avait pu assez rapidement les relancer gr\u00e2ce \u00e0 ses syst\u00e8mes de backup qui lui ont permis de r\u00e9cup\u00e9rer les donn\u00e9es n\u00e9cessaires \u00e0 la reprise de l\u2019activit\u00e9 et ainsi de ne pas payer la ran\u00e7on exig\u00e9e. Fleury Michon a d\u2019ailleurs particip\u00e9 au guide Attaques par ran\u00e7ongiciels, tous concern\u00e9s<\/em><\/a>, publi\u00e9 cette ann\u00e9e par l\u2019ANSSI, et qui a vocation \u00e0 accompagner les collectivit\u00e9s et les entreprises dans leur compr\u00e9hension de la probl\u00e9matique des ransomwares et des actions \u00e0 initier pour s\u2019en prot\u00e9ger.<\/p>\n <\/p>\n Les ransomwares ont encore de beaux jours devant eux, mais les entreprises n\u2019ont pas dit leur dernier mot et pourraient bien continuer de renforcer leur posture de d\u00e9fense et de d\u00e9cliner le plus possible les demandes de ran\u00e7ons. Si tel est le cas, les cyber-criminels auront peut-\u00eatre \u00e0 c\u0153ur, d\u2019ici quelques ann\u00e9es, de se tourner vers de nouvelles activit\u00e9s plus lucratives ?<\/p>\n","protected":false},"excerpt":{"rendered":" Depuis le d\u00e9but de l\u2019ann\u00e9e 2020, les attaques par ransomware se multiplient et font la Une des journaux. Tous les professionnels, grandes entreprises comme petites structures, semblent vuln\u00e9rables face \u00e0 une menace qui \u00e9volue. Et le nombre de cas impact\u00e9s avec plus ou moins de…<\/p>\n","protected":false},"author":61,"featured_media":199214,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1612],"tags":[4368],"business_size":[682,683,681],"industry":[695,689,703,2123,691,693,699,701,697],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[1595,1565,1530],"class_list":["post-205568","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-veille-securite","tag-la-cybersecurite-par-stormshield","business_size-eti","business_size-grande-entreprise","business_size-pme","industry-administrations-publiques","industry-banque-et-finance","industry-commerce-et-e-commerce","industry-datacenters-fr","industry-defense-et-organisations-militaires","industry-education-et-enseignement","industry-industrie-fr","industry-operateurs-et-mssp","industry-sante-et-etablissements-de-soin","listing_product-breach-fighter-fr","listing_product-ses-fr","listing_product-sns-fr"],"acf":[],"yoast_head":"\nMoyens de chiffrement, propagation\u2026 Quelles \u00e9volutions pour les ransomwares\u00a0?<\/h2>\n
Thomas Gendron<\/strong>, Malware Research Engineer Vade Secure<\/pre>\n<\/blockquote>\n
Entre attaques opportunistes et cibl\u00e9es<\/h2>\n
Des ransomwares qui se professionnalisent<\/h2>\n
Edouard Simp\u00e8re<\/strong>, Responsable Cyber Threat Intelligence<\/pre>\n<\/blockquote>\n
Quels comportements adopter face aux ransomwares\u00a0?<\/h2>\n