Ransomware : une menace en constante évolution

Les ransomwares restent l’une des menaces les plus répandues et les plus dangereuses auxquelles sont confrontées les organisations, qu’elles soient publiques ou privées. L’activité associée à l’exploitation de ransomwares a vécu une série de transformations permettant aux acteurs du monde cybercriminel de maximiser leurs opérations, leurs profits et de casser des défenses qui gagnent en maturité.

Ce cycle s’est poursuivi tout au long de 2020, avec l’émergence de techniques clés adoptées par les acteurs cybercriminels :

• Exfiltration des données des victimes suivie d’extorsion
• Techniques d’accélération du déploiement des ransomwares

L’utilisation croissante de ces deux techniques marque une évolution significative des modèles opérationnels des ransomwares et chacune apporte de nouveaux risques que les organisations de défense doivent prendre en compte. Evidemment, ces évolutions augmentent le risque pour les organisations qui, auparavant, n’avaient peut-être pas considéré ces risques comme faisant partie de leur profil de menace.

Exfiltration de données et chantage

Le chiffrement des données, et donc leur indisponibilité, ont représenté le principal but des acteurs du ransomware depuis que la méthode est apparue. Cependant, en 2020, nous avons, chez WithSecure, vu un pivot vers le ciblage de la confidentialité des données sensibles au sein des organisations via l’exfiltration de données et les demandes de rançon ultérieures pour ne pas divulguer ces informations dans la sphère publique. On voit ici que l’on touche déjà à deux des trois points majeurs de la sécurité : confidentialité et disponibilité.

La divulgation des données a été observée via des sites web hébergés directement par ces acteurs cybercriminels et ils en ont fourni les preuves aux victimes pour contraindre le paiement. Un cas tristement notable de cette situation a été constaté en Finlande lorsqu’un groupe cybercriminel a publié les notes de thérapie et les informations médicales des patients d’un établissement psychiatrique lorsque l’établissement visé a refusé de payer la rançon.

Auparavant, les coûts liés à une attaque de type ransomware – réussie ou non – cessaient généralement après la maîtrise (via la cyberdéfense) du cybercriminel. Désormais, l’exfiltration de données et le chantage font monter la note et ce même après avoir sorti l’attaquant du domaine de la victime. Les organisations n’ont aucun moyen de réduire les coûts liés à la perte de données après que celle-ci se soit produite : des cadres réglementaires tels que le Règlement Général sur la Protection des Données (RGPD) de l’UE ou la loi américaine sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) engendrent des coûts supplémentaires aux oragnisations sur des pertes de données.

Le groupe cybercriminel «Maze Team» a été largement signalé comme l’un des premiers à populariser cette technique, mais de plus en plus d’acteurs utilisent cette même approche. Cela inclut des noms connus tels que REvil (également connu sous le nom de Sodinokibi), Ryuk et DoppelPaymer, entre autres.

Chez WithSecure, nous estimons que cette technique continuera de gagner en popularité. En effet les acteurs cybercriminels cherchent à maximiser les revenus de chaque opération et les organisations peinent à mettre en œuvre des contre mesures efficaces sur l’ensemble de la méthode. WithSecure, lors de ses missions de conseil auprès des entreprises, constate que ces dernières peinent à mettre en place des mesures efficaces contre la perte de données.

Cette nouvelle approche concerne toutes les organisations, publiques et privées, et surtout celles détenant des données sensibles couvertes par un cadre règlementaire spécifiques tels que les secteurs de la finance, de la santé et du droit.

Vitesse de déploiement des ransomwares

Contrairement à l’exfiltration de données qui se passe dans le temps, il existe une nouvelle menace sous la forme de déploiements de ransomwares «rapides» à l’échelle du domaine de l’entreprise. Cela implique le déploiement de ransomwares sur un domaine complet en seulement quelques heures après la compromission initiale. Il s’agit d’une évolution des précédentes intrusions manuelles de ransomwares, lorsque le cybercriminel passait des jours, voire des semaines, à accéder et à se déplacer soigneusement avant de choisir d’activer le ransomware au moment le plus opportun.

Cette approche “rapide” semble être un changement fondamental dans le modèle opérationnel dans les dernières intrusions récemment signalées. WithSecure évalue que l’utilisation croissante de cette technique est motivée par la conviction des acteurs cybercriminels qu’elle empêchera les organisations de réagir à temps et ainsi de leur bloquer l’accès. Cela peut être dû au fait que les acteurs ont été identifiés et sortis des domaines avant de pouvoir déployer un ransomware.

Il est courant que, lors d’intrusions plus longues, les cyber criminels passent beaucoup (trop) de temps à cartographier l’infrastructure de la victime, à désactiver les outils de sécurité et les sauvegardes avant le déploiement du ransomware. Ce modèle offre un compromis entre la vitesse de déploiement et la capacité d’assurer un déploiement complet et efficace de leurs charges utiles sur l’ensemble de l’infrastructure de la victime.

WithSecure évalue que ce nouveau modèle opérationnel facilitera potentiellement une plus grande quantité d’intrusions menées par des entités plus petites (de l’ordre de quelques personnes voir une seule) et par conséquent permettra d’optimiser le retour sur investissement de ces opérations malveillantes. Cette approche, si elle tire parti de moins de ressources, pourrait également rendre les petites entreprises des cibles plus attrayantes, car elle peut maintenant être perçue comme un investissement en temps intéressant pour les groupes cybercriminels. WithSecure évalue donc que cette nouvelle approche pourrait augmenter le risque d’exposition à des menaces de ransomware plus matures pour les petites et moyennes entreprises.

Cette approche rapide contraste avec l’augmentation de l’exfiltration de données, probablement motivée par l’optimisation des gains pour chaque intrusion qui, donc, constituera un modèle opérationnel globalement plus lent. La prise en compte de la diversité des menaces posées par les acteurs des ransomwares sera donc une proposition plus complexe et exigera une maturité supplémentaire au sein des organisations dans leur approche de la défense.

La vitesse potentielle de ces intrusions oblige les organisations à revoir leurs processus de réponse et leurs playbooks pour s’assurer qu’elles ont la souplesse nécessaire pour pouvoir répondre et contenir une telle menace. L’architecture sécurisée et la protection des assets critiques joueront un rôle encore plus important que d’habitude, en garantissant que l’acteur malveillant ne puisse pas atteindre ces assets (et donc ses objectifs) et laisser à l’organisation le temps de réagir et de contenir la menace.

Opportunités

Cependant, WithSecure estime que l’adoption de cette nouvelle approche n’est pas entièrement une mauvaise nouvelle pour les “défenseurs” et leur offre en fait des opportunités d’identifier rapidement les compromissions et d’éviter que des dommages (objectifs) ne se produisent. L’approche de l’exfiltration des données oblige l’acteur malveillant à effectuer des actions supplémentaires sur le réseau victime et à y passer plus de temps avant de déployer le ransomware. Ceci donne aux défenseurs plus d’occasions de détecter une intrusion et plus de temps pour réagir et potentiellement contenir une telle menace avant qu’un impact ne se produise.

Avec le scénario de déploiement rapide des ransomwares, la vitesse à laquelle l’acteur de la menace opère suggère qu’ils seront probablement plus «bruyants» que d’habitude dans sa méthode et ses actions. Cette vitesse et ce bruit seront plus susceptibles de déclencher des détections et des seuils de défense, offrant plus de possibilité de détecter et de répondre à ces menaces qui pourraient auparavant ne pas avoir été détectées si elles avaient été réalisées en silence et dans le temps.

Conclusion

Un changement dans l’approche des acteurs des ransomwares augmente le risque d’extorsion réussie pour les organisations qui ne sont pas suffisamment préparées à se défendre contre les nouvelles menaces et ce modèle opérationnel. L’évolution est applicable à un large éventail d’organisations de défense dans un éventail de verticaux, et en plus potentiellement à de nouvelles organisations qui ne se seraient peut-être pas considérées auparavant comme à haut risque de menaces de ransomware.

WithSecure recommande donc aux entreprises d’évaluer l’impact de ces évolutions sur leurs contrôles internes et leurs processus de réponse. Comme souligné ci-dessus, il existe des risques supplémentaires, mais aussi des opportunités pour les organisations de détecter les menaces qu’elles auraient pu ignorer auparavant.

Le processus de cet ajustement constituera également une expérience précieuse pour les entreprises, car les menaces des acteurs de ransomwares et d’autres groupes continueront d’évoluer à l’avenir; par conséquent, l’évaluation de ces changements et la connaissance des contrôles peuvent permettre des améliorations de la posture défensive plus agiles, réactives et efficaces à l’avenir.