Comprendre «l’après» peut aider les entreprises à se protéger contre les ransomwares

CyberDéfenseRisquesSécurité
gandcrab-ransomware

Les opérateurs de ransomwares sont de plus en plus organisés avec des systèmes de vente aux enchères de données volées et de location d’outils d’attaque.

Tout le monde connaît les machinations du stratagème criminel de gain d’argent qu’est le ransomware. Cependant, nous avons beaucoup moins de visibilité et de compréhension de ce qui se passe «après» l’attaque, qui est devenue l’activité principale des cybercriminels.

Aujourd’hui, les attaquants ne se contentent pas d’infiltrer les machines. Ils analysent tous les documents qu’ils vous ont copiés – vos documents volés. Un ransomware n’est pas seulement le cryptage des informations, c’est un accès qui permet tout. Les attaquants sont devenus les maîtres de votre machine et ils vont vous faire chanter.

Il existe un état d’esprit marketing clair face à la malveillance qu’ils ont mise en place:

• La première attaque est la prise d’otages de machines et de fichiers par cryptage. Ils vous demandent de payer le décryptage des documents pris en otage.

• La deuxième attaque est la menace des pirates de divulguer vos informations afin d’alerter les autorités. Avec la possibilité de lourdes amendes de réglementations telles que le RGPD pour la non-divulgation d’attaques, cette deuxième attaque s’est avérée de plus en plus courante.

• La troisième attaque est la vente aux enchères des données volées aux entreprises qui n’ont pas payé les deux premières tentatives de chantage.

La vente aux enchères de données volées

Comprenez que tout est à vendre: les identifiants, les mots de passe et essentiellement toutes les données qu’ils peuvent collecter. Les attaquants font des échantillons – un peu comme chez votre parfumeur préféré – et ils contactent toutes les parties potentiellement intéressées. Un dépôt de garantie vous permettra ensuite de participer à cette vente aux enchères en ligne de style eBay.

Des partenariats existent désormais entre les opérateurs de ransomware pour profiter de ces données volées lorsque les rançons ne sont pas payées. Les opérateurs peuvent télécharger et exploiter ce pool de données plus large pour améliorer leurs propres opérations.

Locations et redevances via RaaS

Ce ne sont pas seulement les opérateurs du ransomware eux-mêmes qui peuvent lancer une attaque. Après quelques mois dans la vie du ransomware, le modèle commercial peut désormais passer au ransomware-as-a-service (RaaS). Le recrutement est simple. Vous payez un taux allant de 10 $ à plusieurs centaines ou milliers de dollars. Même si vous n’y connaissait absolument rien, il existe des outils qui vous permettront malheureusement de nuire à tout le monde. Vous pouvez infiltrer, copier, crypter, envoyer un message et négocier.

Des redevances peuvent également être collectées par l’opérateur RaaS, allant de 30% à 70% du montant généré par le ransomware. Dans le cas d’un grand cabinet d’avocats new-yorkais, par exemple, les attaquants ont demandé 40 millions de dollars – 30% de ce type de paiement peut être une véritable motivation pour l’opérateur initial de partager ses outils! Certains opérateurs RaaS créent même des vidéos promotionnelles pour vous vendre leurs petits «jouets». Ceci et les nombreuses options complémentaires que vous pouvez louer vous donnent une idée de l’état d’esprit marketing de ces opérateurs.

Mesures préventives et proactives

Il est clair que nous avons affaire à des réseaux de plus en plus organisés. De plus, la technologie des ransomwares devient accessible à tous, y compris aux employés qui pourraient vouloir se venger d’une organisation. Tout cela fait effectivement des petites et moyennes entreprises des cibles extrêmement faciles car elles ne sont pas préparées.

Des mesures préventives et proactives clés sont nécessaires pour fournir des couches supplémentaires de défense contre les ransomwares. L’authentification à deux facteurs associée aux contrôles d’accès contextuels et à la surveillance des connexions aidera à détecter les comportements suspects et à y mettre un terme avant qu’une violation de données ne se produise.

Personne aujourd’hui ne peut garantir honnêtement une sécurité à 100%. Cela dit, il faut être organisé à l’avance et prêt pour le jour où ce genre de catastrophe se produira.

Auteur
En savoir plus 
PDG et fondateur
IS Decisions
François Amigorena est PDG et fondateur de IS Decisions
En savoir plus 

Livres blancs A la Une