"Nous avons vu les dégâts que les attaques par ransomware peuvent causer, avec des organisations incapables de fonctionner, ce qui a ensuite des répercussions sur la chaîne d’approvisionnement et sur la vie des citoyens. Les attaques actuelles qui touchent Oiltanking en Allemagne, SEA-Invest en Belgique et Evos aux Pays-Bas sont inquiétantes, mais les discussions sur des attaques coordonnées entre États-nations sont prématurées. Le scénario le plus probable est que les attaquants travaillent à partir d’une base de données contenant des cibles similaires et que leurs efforts font mouche.

"Bien qu’il faille des mois pour déterminer les détails complexes d’une attaque, les premiers rapports suggèrent que BlackCat, qui serait une nouvelle marque de BlackMatter, pourrait être responsable des attaques en Europe. Dans un autre incident, KP Foods a également été victime cette semaine d’un ransomware et Conti étant accusé d’être à l’origine de ses pannes. Ce que nous savons de ces deux groupes de pirates, c’est qu’ils exploitent un modèle commercial de "ransomware-as-a-service (RaaS)". Cela signifie qu’il s’agit d’un crime organisé avec des bases de données de victimes et de nombreux affiliés, qui n’ont aucune allégeance à un groupe de ransomware particulier et s’associent souvent à plusieurs d’entre eux, en exploitant de puissants robots pour automatiser la diffusion du malware."

"Du point de vue de la victime, il importe peu de savoir qui est responsable, d’autant plus qu’il est peu probable qu’on le sache avant plusieurs mois. Dans la majorité des cas, comme c’est le cas pour BlackMatter et Conti, c’est une vulnérabilité connue qui permet au malware d’infiltrer l’infrastructure et de chiffrer les systèmes. BlackMatter est connu pour cibler les logiciels de bureau à distance et exploiter des informations d’identification préalablement compromises, tandis que Conti est connu pour utiliser des failles telles que Zerologon (CVE-2020-1472), PrintNightmare (CVE-2021-1675, CVE-2021-34527) et EternalBlue (CVE-2017-0143, CVE-2017-0148) lors de ses attaques. Une autre voie d’attaque est l’exploitation de mauvaises configurations dans Active Directory, Conti et BlackMatter étant connus pour utiliser cette tactique."

"Ce que les organisations doivent retenir, c’est que les principes de sécurité de base peuvent grandement contribuer à bloquer le chemin d’attaque emprunté par les ransomwares. Les équipes de sécurité doivent adopter des solutions qui offrent une visibilité, une sécurité et un contrôle appropriés sur le cloud et l’infrastructure convergente. Identifiez les systèmes critiques sur lesquels les organisations s’appuient pour fonctionner, identifiez toutes les vulnérabilités qui affectent ces systèmes, puis prenez des mesures pour corriger ou remédier au risque. Traitez également les autorisations excessives dans Active Directory qui permettent aux attaquants d’élever leurs privilèges pour s’infiltrer davantage dans l’infrastructure. Si l’on ne fait pas l’essentiel, l’entreprise est vulnérable et les perturbations sont imminentes, quel que soit l’attaquant."