Comment stopper les attaques sophistiquées par ransomware

Le nombre et la fréquence des cyberattaques par ransomware augmentent chaque année. L’ENISA a enregistré une augmentation de 150 % rien qu’en 2020 et, depuis l’année dernière, les attaques par ransomware sont devenues la menace numéro un. De plus, les coûts de récupération et les temps d’interruption encourus peuvent être jusqu’à 10 à 15 fois plus élevés que la rançon demandée par les cybercriminels. Les chiffres cités ci-dessus ne reflètent qu’une partie des principaux éléments et conclusions présentés dans le nouvel eBook WatchGuard intitulé « Comment s’échapper du dédale des ransomwares ».

Ce document décrit également comment les pirates informatiques déploient aujourd’hui des tactiques sophistiquées pour échapper aux mesures traditionnelles de détection des ransomwares et tirer parti des processus couramment utilisés pour s’introduire dans les systèmes. Les criminels se déplacent latéralement dans le réseau, à la recherche d’opportunités de vol et de chiffrement de données. Une fois qu’ils ont obtenu ce qu’ils voulaient, ils menacent de vendre ou de divulguer les données exfiltrées ou les informations d’authentification si une rançon n’est pas payée. L’eBook présente les étapes que les cyberacteurs malveillants suivent généralement pour atteindre cet objectif :

1. Les pirates informatiques accèdent à l’entreprise en utilisant l’un des vecteurs d’attaque suivants : vol de mot de passe, force brute, vulnérabilité des logiciels ou phishing.
   
    
2. Une fois qu’ils ont obtenu un premier accès au réseau, les cybercriminels tentent de trouver des identités clés au sein de l’entreprise pour obtenir des identifiants d’accès qui leur permettront de continuer à progresser, contournant ainsi les mesures de cybersécurité traditionnelles.
   
    
3. Après l’intrusion, ils utilisent plusieurs outils pour mener à bien la cyberattaque. Ils pénètrent dans le système à l’aide d’un malware contenant un ensemble d’outils nécessaires ou téléchargent les outils dont ils ont besoin en établissant une connexion avec un serveur Command & Control une fois dans le système.
   
    
4. Au stade final de la cyberattaque, après avoir été téléchargé et installé sur le système, le ransomware commence à accomplir sa mission. Il tente de désactiver les mesures de cybersécurité et essaie d’extraire les données sensibles, de détruire les copies de sauvegarde et, enfin, de désactiver les systèmes et de chiffrer les données de l’entreprise.

Face à ces dangers, comment les entreprises peuvent-elles déjouer les cyberattaques par ransomware qui utilisent des techniques de plus en plus sophistiquées, se produisent plus fréquemment et peuvent échapper aux solutions de cybersécurité traditionnelles très facilement ? Notre eBook répond à cette question en proposant plusieurs bonnes pratiques, telles que la mise en place de sauvegardes protégées hors du réseau de l’entreprise, veiller à ce que les systèmes et logiciels tiers soient mis à jour avec les derniers correctifs, et gérer efficacement les mots de passe et les autorisations d’accès au sein de l’entreprise.

Il met également en garde contre le fait que, bien que ces mesures soient préventives, elles ne sont pas infaillibles et doivent être associées à une solution de cybersécurité complète capable de détecter les menaces sophistiquées de cette nature et d’y répondre. Cette solution doit intégrer des technologies axées sur un modèle Zero-Trust et baser leurs capacités sur la protection, la détection et la réponse au niveau de l’endpoint, en contribuant à réduire la surface d’attaque par la correction des vulnérabilités connues. Elle doit également assurer la gestion des identités par le biais d’une authentification multifacteur (MFA), de fonctionnalités anti-phishing, anti-exploit et de protection contre les falsifications, et d’un service de classification automatique des processus et des applications, ainsi que d’un service de threat hunting, afin que les plus sophistiquées puissent être détectées de manière proactive.