Ce mois d’août a été le théâtre de cyberattaques très médiatisées que ce soit celle du Centre hospitalier sud francilien (CHSF) à Corbeil-Essonnes ou des 120 hôpitaux français du groupe Ramsay. Pourtant la grande majorité de ces attaques ne sont pas signalées par les entreprises qui les subissent, ainsi que le révèle Barracuda, un fournisseur de solutions de sécurité pour le cloud, qui chiffre ces attaques à plus de 1,2 million chaque mois… Il a publié le 24 août dernier un nouveau rapport de recherche qui analyse les schémas d’attaques par ransomware ayant eu lieu entre août 2021 et juillet 2022.
Les cybercriminels utilisent des logiciels malveillants, souvent sous forme de pièce jointe ou de lien, pour infecter le réseau et verrouiller les e-mails, les données et autres fichiers critiques jusqu’à ce qu’une rançon soit payée. Ces attaques évolutives et sophistiquées sont dommageables et coûteuses, elles peuvent paralyser les opérations quotidiennes des entreprises et entraîner de grosses pertes financières.
En 2021, Barracuda a noté une tendance à la double extorsion, où les attaquants volent des données sensibles à leurs victimes et exigent un paiement en échange d’une promesse de ne pas publier ou vendre les données à d’autres criminels. En plus de cela, dans la recherche de cette année, la société a constaté que les attaquants exigent maintenant des frais de retard ou une pénalité si les paiements de rançon ne sont pas effectués rapidement.
La plupart des attaques par ransomwares ne font pas les gros titres. De nombreuses entreprises préfèrent de ne pas divulguer qu’elles ont été ciblées, les attaques sont souvent extrêmement difficiles à gérer pour les petites entreprises.
Fleming Shi, CTO de Barracuda, affirme :
« Comme les ransomwares et les autres cybermenaces ne cessent d’évoluer, le besoin de solutions de sécurité adéquates ne s’est jamais fait autant ressentir. De nombreux cybercriminels ciblent les petites entreprises dans le but d’accéder à des entités de plus grande envergure. Il est donc essentiel que les fournisseurs de solutions de sécurité créent des produits faciles à utiliser et à mettre en œuvre, quelle que soit la taille de l’entreprise. En outre, des technologies de sécurité sophistiquées doivent être disponibles en tant que services, afin que les entreprises de toutes tailles puissent se protéger contre ces menaces en constante évolution. En rendant les solutions de sécurité plus accessibles et plus conviviales, l’ensemble du secteur peut contribuer à une meilleure défense contre les ransomwares et d’autres cyberattaques. »
L’analyse de 106 attaques médiatisées
Les chercheurs de Barracuda ont analysé 106 attaques de ransomware très médiatisées entre août 2021 et juillet 2022 et ont constaté une augmentation des attaques dans les secteurs les plus ciblés. Ces secteurs sont l’éducation (15 %), les municipalités (12 %), les soins de santé (12 %), les infrastructures (8 %) et les finances (6 %). Parallèlement, les attaques contre d’autres industries ont plus que doublé par rapport à l’an passé.
Alors que les attaques contre les municipalités n’ont que légèrement augmenté, l’analyse a montré que les attaques de ransomware contre les établissements d’enseignement ont plus que doublé et que les attaques contre les secteurs verticaux de la santé et de la finance ont triplé.
Pour Fleming Shi, le fait que les attaques liées à l’infrastructure aient quadruplé, indique l’intention des cybercriminels d’infliger des dommages plus importants au-delà de l’impact sur la victime immédiate et lui fait réaliser à quel point nous sommes tous vulnérables aux cyberattaques potentielles parrainées par les États-nations, car ce sont les acteurs de la menace les plus susceptibles de s’attaquer à des cibles d’infrastructure.
Les fournisseurs de services ont été les plus touchés (14 %). Selon Fleming Shi, qu’elles fournissent des services informatiques ou d’autres services commerciaux, ces types d’organisations sont des cibles attrayantes pour les gangs de ransomware en raison de la nature de l’accès qu’ils ont aux systèmes de leurs clients. L’accès aux victimes se multiplie si les attaquants réussissent sur leur territoire et élargissent leur stratégie.
Les attaques de ransomware sur les organisations automobiles, hôtelières, médiatiques, de vente au détail, de logiciels et de technologie ont également augmenté.
Les données ne concernaient aucune attaque de ransomware sur les entreprises de cybersécurité entre août 2021 et juillet 2022, l’attaque de Cisco par le groupe de ransomware Yanluowang n’ayant été révélée qu’à la mi-août.
Les leçons à tirer de ce rapport
Au cours de la dernière année, davantage de paiements de ransomware ont été récupérés par les organismes d’application de la loi, ainsi le département américain de la Justice a saisi environ un demi-million de dollars en paiements de ransomware effectués à des cybercriminels nord-coréens ciblant des organisations de soins de santé. D’autre part, les États-Unis et l’UE encouragent la coopération contre les attaques de ransomware
Pourtant, les cyberattaquants continuent à exploiter le secteur des ransomwares avec des tentatives d’extorsion prolongées. Fleming Shi se dit surpris s’assister encore à de nombreuses quantité d’attaques réussies contre les systèmes VPN sans que des systèmes d’authentification plus forts ne soient mis en place. Le passage rapide au travail à distance lors de la pandémie de COVID-19 a révélé qu’il s’agissait d’un domaine de faiblesse pour de nombreuses organisations, pour lui il est logique que les cybercriminels continuent d’essayer d’exploiter ces vulnérabilités. Si les entreprises ont eu tout le temps d’améliorer leur authentification, beaucoup ne l’ont pas fait.
Néanmoins, cette analyse a révélé que les victimes ont été moins nombreuses à payer la rançon et plus d’entreprises ont pu rester fermes grâce à de meilleures défenses, en particulier dans les attaques contre les infrastructures critiques.
La collaboration avec le FBI et d’autres forces de l’ordre a également un impact. Pour Fleming Shi, les attaques contre les infrastructures essentielles ont été un signal d’alarme pour les autorités, les poussant à prendre des mesures, et les accords entre les différents États-nations et les dirigeants gouvernementaux ont créé un environnement de collaboration pour réprimer ces crimes.
Les analyses sur 3 attaques que le SOC de Barracuda a permis de résoudre ont révélé plusieurs similitudes :
- Ces attaques n’étaient pas un événement d’une journée ou d’une semaine mais ont été réalisées sur plusieurs mois;
- Le VPN est constamment ciblé parce qu’il mène à l’infrastructure et aux actifs;
- Les informations d’identification sont soit volées par le biais d’attaques de phishing soit achetées sur le dark web.
- Les liens d’informations d’identification de messagerie avec Microsoft 365 sont conçus pour plus de commodité, mais ils signifient également que l’authentification unique conduit à de nombreuses routes potentielles dans l’infrastructure