Aperçu exécutif
Les acteurs de la menace ont intensifié le modèle d'attaque de rançongiciel d'extorsion unique pour doubler, voire tripler l'extorsion.
Avec la marchandisation de la cybercriminalité, les adversaires ont considérablement accru les niveaux de sophistication de leurs opérations, et donc également les effets potentiellement dévastateurs d'une attaque par ransomware.
Flare Directeur Marketing Eric Clay ainsi que le CTO & Co-fondateur Mathieu Lavoie ont discuté des dernières tendances en matière d'attaques de ransomwares, notamment : la double/triple extorsion, différents types de ransomwares, les méthodes de vol de données sensibles, etc.
Découvrez notre enregistrement complet du webinaire, Ransomware triple extorsion et vidages de fichiers Web sombres, et/ou continuez à lire pour les faits saillants.
Marchandisation des groupes de ransomwares
Les groupes de rançongiciels ressemblent de plus en plus à des entreprises, comme avec :
- approches axées sur la mission
- pratiques de recrutement pour rechercher de nouvelles embauches
- spécialisation
Le groupe Karakurt, après avoir opéré en privé pendant un an, a récemment publié un poste de recrutement pour attirer de nouveaux membres. Ils sont fiers de leur mission de tenir les entreprises responsables des vulnérabilités existantes dans leur cybersécurité et de la négligence de leur personnel informatique. Ces groupes peuvent être animés par des motivations à la fois financières et politiques, souvent influencées par l'évolution du paysage géopolitique.
En général, il existe deux types distincts de spécialisation au sein de ces groupes. Semblable à une entreprise avec plusieurs départements, un groupe peut avoir une spécialisation interne. Par exemple, au sein d'un groupe de logiciels de rançon, certains membres peuvent exceller dans la négociation de la rançon, tandis que d'autres se concentrent principalement sur le développement de logiciels malveillants. Une autre forme de spécialisation implique des groupes individuels ayant leurs propres domaines d'expertise, semblables à des agences spécialisées au sein d'une grande entreprise. Un groupe peut se concentrer sur la distribution de rançongiciels, en collaborant avec un autre groupe spécialisé dans l'extorsion.
Cette collaboration organisée et spécialisée entre les groupes peut conduire à des opérations plus complexes et évolutives par rapport aux acteurs de la menace individuels.
Changements dans les groupes de ransomwares
Les groupes de rançongiciels modifient constamment leurs tactiques, techniques et procédures (TTP) pour optimiser leur stratégie. Une tendance alarmante que nous avons constatée récemment est que les groupes de rançongiciels ont recours à des tactiques de double et triple extorsion. En plus (ou parfois à la place) du cryptage des fichiers, de nombreux groupes menacent désormais de divulguer des fichiers sensibles sur le dark web, menacent d'exposer les informations individuelles des employés ou utilisent les attaques DDoS comme une autre incitation à payer.
Récemment, nous avons vu des groupes plus sophistiqués s'éloigner du chiffrement et se tourner vers la simple exfiltration de données et la rançon. Cela crée une opportunité supplémentaire pour les acteurs de la menace de monétiser les rançongiciels puisque, même si la rançon n'est pas payée, les acteurs sont en mesure de vendre l'accès aux données.
Le cryptage crée toujours le chaos et la perte pour les entreprises. C'est une méthode efficace pour créer une pression et causer un impact opérationnel qui peut entraîner des pertes financières. Par conséquent, le cryptage est susceptible de rester pour de nombreux groupes, et nous continuerons probablement à voir des groupes trouver des moyens supplémentaires d'obtenir un effet de levier et de forcer les entreprises à payer.
Recommandations concrètes pour se protéger contre les ransomwares
Il peut y avoir des recommandations spécifiques au contexte, mais voici les directives générales que toutes les organisations peuvent suivre pour se protéger contre les ransomwares :
- Détection: Assurez-vous que les utilisateurs disposent de l'authentification MFA et utilisez la détection et la réponse des terminaux (EDR) pour détecter tout type d'attaque en interne et en externe.
- Surveillance tierce : Effectuez une évaluation avant de commencer une nouvelle relation avec une entreprise et surveillez également en permanence la posture de sécurité du tiers.
- Surveillance du groupe de rançongiciel : Garder un œil sur les groupes de rançongiciels et toutes les listes de fichiers qui semblent pertinentes peut être utile pour découvrir plus tôt les risques éventuels au lieu d'attendre d'être averti par le tiers. Par exemple, nous avons vu le cas d'une entreprise qui surveillait des groupes de rançongiciels et qui savait trois semaines à l'avance que l'un de ses partenaires tiers avait été compromis par un rançongiciel avant de recevoir un avis de divulgation légale dudit partenaire. Cela peut donner plus de temps aux organisations concernées pour examiner les données qu'elles envoyaient au tiers piraté et commencer à remédier à la fuite de données.
- Surveillez le dark web : Assurez-vous de surveiller les marchés et les forums du dark web à la recherche d'informations d'identification volées et d'autres menaces pertinentes susceptibles d'entraîner une violation.
Comment Flare peut aider
Flare surveille le Web clair et sombre et les canaux Telegram illicites pour détecter les menaces externes à haut risque.
Flare peut détecter toute mention suspecte sur les organisations afin de donner le plus de temps possible pour se préparer aux violations de données.
Curieux de savoir comment Flare peut aider votre organisation avec préparation aux ransomwares? Inscrivez-vous pour un essai gratuit pour en savoir plus.
