Au cours des 12 derniers mois, les chercheurs de Barracuda ont identifié et analysé 71 incidents liés à des logiciels de rançon. L’an passé, un examen approfondi des attaques sur des municipalités par des logiciels de rançon a montré que les collectivités locales sont une cible privilégiée des cybercriminels. C’est toujours le cas : la majorité des attaques par logiciels de rançon étudiées cette année visaient des municipalités, notamment collectivités locales, écoles, bibliothèques, tribunaux et autres entités. L’analyse de cette année inclut également des données sur des organismes liés aux secteurs de la santé et de la logistique, deux secteurs essentiels pour notre bien-être physique, ainsi que pour la durabilité et la reprise économiques tout au long de la pandémie.

Pleins feux sur une menace

Les cybercriminels utilisent des logiciels malveillants, livrés en pièce jointe ou sous forme de lien dans un email, pour infecter le réseau et verrouiller la messagerie électronique, les données et d’autres fichiers cruciaux jusqu’au versement d’une rançon. Ces attaques évolutives et sophistiquées font beaucoup de dégâts et sont coûteuses. Elles peuvent paralyser les opérations quotidiennes, provoquer le chaos et entraîner des pertes financières dues aux temps d’arrêt, au paiement de rançons, aux coûts de reprise et à d’autres dépenses imprévues et non budgétées.

Avec la pandémie qui a renvoyé chez eux des millions de travailleurs, les cybercriminels ont obtenu une plus grande surface d’attaque en raison du passage rapide et généralisé au télétravail. La piètre sécurité des réseaux domestiques permet aux cybercriminels de les compromettre plus facilement, de se déplacer latéralement vers les réseaux d’entreprise et de lancer des attaques par logiciels de rançon.

Détails

En plus de cibler fortement les municipalités, qui sont clairement un domaine d’intérêt et de réussite pour les cybercriminels, ceux-ci s’intéressent maintenant aux secteurs de l’éducation et de la santé. Les attaques constantes des établissements de santé ne sont pas surprenantes, diverses menaces pour la cybersécurité et attaques liées à la pandémie ayant été largement signalées.

Les attaques ciblant l’éducation, notamment des établissements d’enseignement supérieur, incluent le vol d’informations personnelles et de dossiers médicaux, ainsi que la recherche sur la santé. Ainsi, l’Institut d’orthopédie de Floride et l’École de médecine de l’UCSF sont deux cas très médiatisés qui ont fait la une des journaux. Le premier fait l’objet d’un recours collectif, tandis que la seconde a payé une rançon de 1,1 million de dollars.

Les attaques dans le secteur de la logistique sont également en hausse. Six attaques notables par des logiciels de rançon ont ainsi été examinées depuis juillet. Les attaques ciblant des entreprises de logistique peuvent sérieusement entraver la capacité à transporter des marchandises, notamment des équipements médicaux, des équipements de protection individuelle et des produits du quotidien. Le groupe Toll a été victime de deux attaques en trois mois. Cela pourrait indiquer que les attaquants changent de stratégie et accordent plus d’attention aux cibles qui ont déjà été identifiées comme vulnérables afin de lancer une série d’attaques.

Augmentation des rançons

Il n’y a pas que les attaques qui sont en hausse. Les rançons et les paiements de rançon le sont aussi. Dans de nombreux cas, les rançons sont désormais plus susceptibles d’être payées et ces demandes dépassent souvent le million de dollars. Sur les cas étudiés, 14 % ont confirmé avoir payé la rançon, pour un versement moyen de 1 652 666 dollars. Dans un cas extrême, Garmin aurait payé une rançon de 10 millions de dollars.

Des rançons sont également versées par des municipalités. 15 % des municipalités étudiées par Barracuda ont ainsi effectué des paiements variant de 45 000 à 250 000 dollars. Toutes les municipalités étudiées qui ont payé des rançons comptaient moins de 50 000 habitants et ont jugé que le coût et les frais de main-d’œuvre associés à la récupération manuelle de l’attaque étaient trop élevés. Cela représente un changement significatif par rapport à l’année dernière, où pratiquement aucune des municipalités attaquées n’avait payé de rançon.

L’une des municipalités à avoir payé une rançon cette année est la ville de Lafayette, dans le Colorado. "Après un examen approfondi de la situation et des scénarios de coûts, et compte tenu du risque d’interruptions de service longues et gênantes pour les habitants, nous avons déterminé que l’obtention de l’outil de décryptage l’emportait largement sur le coût et le temps nécessaires pour reconstruire les données et les systèmes", a déclaré le maire de Lafayette, Jamie Harkins, dans une vidéo.

En plus de voler des données, de crypter des fichiers et d’exiger une rançon, les cybercriminels demandent aussi à leurs victimes de les payer pour éviter qu’ils ne dévoilent publiquement les informations obtenues, ce qui pourrait entraîner une humiliation publique, des problèmes juridiques et de lourdes amendes. De nombreux cybercriminels combinent désormais l’exploitation de logiciels de rançon et de violations de données pour doubler ainsi l’effet de levier qu’ils peuvent exercer sur leurs victimes. Parmi les attaques étudiées, 41 % étaient des attaques combinées avec demande de rançon et violation de données. Si la rançon n’est pas payée, les données des victimes sont transférées vers les serveurs des auteurs de la menace ou vendues aux enchères sur le web profond (ou dark web).

Les cybercriminels augmentent également leur puissance de feu pour élargir leur filet et piéger davantage de victimes. En juin, les données de Barracuda montrent qu’un réseau de machines zombies (botnet) bien connu a été utilisé pour tenter plus de 80 000 attaques à l’aide du logiciel de rançon Avaddon.

Défense contre les attaques par logiciels de rançon

L’évolution rapide de l’environnement des menaces par courrier électronique exige des techniques de sécurité avancées pour les flux entrants et sortants qui vont au-delà de la passerelle traditionnelle. Il s’agit notamment de combler les lacunes techniques et humaines, afin de maximiser la sécurité et de minimiser le risque d’être victime d’attaques sophistiquées par logiciels de rançon.

Filtres antispam et systèmes de détection du phishing
Si de nombreux messages électroniques malveillants semblent convaincants, les filtres antispam, les systèmes de détection du phishing et les logiciels de sécurité associés peuvent détecter des indices subtils et empêcher que les messages et pièces jointes potentiellement menaçants n’atteignent les boîtes de réception.

Firewalls avancés
Si un utilisateur ouvre une pièce jointe malveillante ou clique sur un lien vers un téléchargement furtif, un firewall réseau avancé capable d’analyser les programmes malveillants offre une chance de stopper l’attaque en signalant l’exécutable lorsqu’il tente de passer à travers.

Détection des programmes malveillants
Pour les emails contenant des documents malveillants en pièce jointe, l’analyse statique et dynamique peut détecter des indicateurs montrant que le document tente de télécharger et d’exécuter un exécutable, ce qu’aucun document ne devrait jamais faire. L’URL de l’exécutable peut souvent être signalée à l’aide de systèmes heuristiques ou de renseignements sur les menaces. Le brouillage détecté par l’analyse statique peut également indiquer si un document peut être suspect.

Listes de blocage
L’espace IP devenant de plus en plus limité, les spammeurs utilisent de plus en plus leur propre infrastructure. Souvent, les mêmes adresses IP sont utilisées pendant assez longtemps pour que les logiciels les détectent et les ajoutent à des listes de blocage. Même avec des sites piratés et des botnets, une fois qu’un volume suffisant de spam a été détecté, il est possible de bloquer temporairement les attaques par IP.

Formation des utilisateurs
Intégrez la simulation du phishing dans la formation de sensibilisation à la sécurité afin que les utilisateurs finaux puissent identifier et éviter les attaques. Transformez-les en une ligne de défense en testant l’efficacité de la formation actuelle et en évaluant les utilisateurs les plus vulnérables aux attaques.

Sauvegarde
En cas d’attaque par un logiciel de rançon, une solution de sauvegarde dans le cloud peut minimiser les temps d’arrêt, éviter la perte de données et permettre la restauration rapide de vos systèmes, que vos fichiers se trouvent sur des appareils physiques, dans des environnements virtuels ou dans le cloud public. Dans l’idéal, vous devriez suivre la règle de sauvegarde 3-2-1 : trois copies de vos fichiers sur deux types de supports différents dont au moins un hors site pour éviter que les sauvegardes ne soient affectées par une attaque par logiciel de rançon.