Selon l’ANSSI, les ransomwares ont représenté la plus grande menace pour les infrastructures IT en 2020. Les signalements liés à ce type d’attaques ont en effet été multipliés par quatre par rapport à 2019. Des secteurs d’activité critiques, tels que la santé ou les collectivités territoriales, sont particulièrement ciblés.

Lors de ces campagnes, les cybercriminels soumettent les organisations à une forte pression pour les inciter à payer une rançon en échange du déchiffrement de données critiques. En outre, les ransomwares sont de plus en plus sophistiqués pour permettre aux cybercriminels de cibler davantage leurs victimes.

Pour Jean-Christophe Vitu, VP Solutions Engineers chez CyberArk, l’émergence de nouvelles formes de ransomwares met en avant l’urgence d’une protection efficace et adaptée des entreprises pour protéger leurs données les plus critiques :

« Des attaques par ransomware ciblées ont récemment vu le jour dans le but d’obtenir des gains plus importants. Désormais, les cybercriminels visent des organisations spécifiques, en fonction de leur capacité (ou de leur besoin) à payer des rançons élevées, en utilisant des techniques, tactiques et procédures (TTP) personnalisées.

Les centres hospitaliers par exemple, sont plus enclins à s’acquitter de la compensation demandée pour pouvoir reprendre leurs activités et prendre en charge les patients.

Les attaquants effectuent des recherches approfondies en amont de l’attaque pour bien comprendre la "pile technologique" de leur cible, soit les spécificités de son infrastructure IT.

Ces campagnes sont ainsi orchestrées grâce à l’identification précise des vulnérabilités des organisations, telles que les données les plus précieuses à chiffrer et à retenir contre une rançon.

Les hackers parviennent également à cibler les dispositifs de sauvegardes de données afin que les organisations ne puissent pas restaurer les fichiers après leur chiffrement par le ransomware. Ils sont de plus capables de construire des "portes dérobées" dans les réseaux, afin de pouvoir s’y réintroduire quand ils le souhaitent. Les organisations peuvent donc se retrouver face à des menaces constantes.

A titre d’exemple, des campagnes malveillantes du ransomware Hades ont récemment ciblé plusieurs multinationales des secteurs du transport et du commerce de détail en suivant un processus bien précis.

La compromission d’identifiants liés à des accès à privilèges ont permis aux cybercriminels d’infiltrer les systèmes de l’entreprise via les réseaux privés virtuels (VPN), ou les protocoles permettant d’utiliser les appareils à distance (RDP). Ils peuvent ensuite mettre en place des attaques par double extorsion, qui consistent à exfiltrer des données sensibles, puis à demander une rançon sous peine de publier ces informations.

Les attaques de ransomware prennent donc généralement leur source au niveau d’un point d’entrée. Lors d’une tentative de connexion, une mauvaise configuration des accès à privilèges constitue une opportunité pour les cybercriminels de voler et de chiffrer des données. Par conséquent, une simple solution de sécurité des accès, qu’il s’agisse d’un dispositif de détection ou encore d’un antivirus, ne suffit pas à se protéger de ce type d’attaque.

Il est alors nécessaire de mettre en place d’une approche globale de sécurisation des terminaux, basée sur la gestion des accès à privilèges. Cette dernière permet de réduire la vulnérabilité des systèmes informatiques, grâce à une détection efficace des intrusions malveillantes favorisant une intervention rapide des équipes IT.

Les mises à jour régulières des applications et des systèmes d’exploitation sont également des moyens de protection à prendre en compte, puisque celles-ci contiennent généralement des correctifs de sécurité permettant de limiter les risques d’attaques liés à l’obsolescence des infrastructures. Enfin, la mise en place de l’approche du moindre privilège est efficace, afin d’accorder aux utilisateurs le niveau d’accès minimum requis pour accomplir leur travail ; limitant donc les déplacements latéraux en cas de compromission.

L’adoption de ces stratégies permet aux entreprises de répondre à l’impératif d’une protection accrue, imposée par le perfectionnement des ransomwares. Grâce à des mesures de sécurité adéquates et adaptées à ces nouvelles formes d’attaque, les organisations peuvent poursuivre leurs activités sereinement, tout en préservant leurs ressources les plus précieuses. »