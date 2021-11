Le rapport Ivanti « Ransomware Index Spotlight » du 3e trimestre 2021 montre une augmentation régulière de la sophistication et du volume des nouvelles vulnérabilités et familles de ransomwares

novembre 2021 par Ivanti

Ivanti annonce les résultats du rapport « Ransomware Index Spotlight » du 3e trimestre 2021, rédigé avec Cyber Security Works et Cyware, fournisseur leader de solutions de cyberfusion, de SOAR nouvelle génération et d’intelligence des menaces. Le rapport montre que les groupes de pirates utilisant le ransomware continuent à gagner en sophistication, en audace et en volume ; et que tous les chiffres ont augmenté depuis le 2e trimestre 2021. Ce dernier trimestre, le rapport traduit une augmentation de 4,5 % du nombre de CVE associées à des ransomwares, 4,5 % de croissance du nombre de vulnérabilités activement exploitées et les plus répandues, une croissance de 3,4 % du nombre de familles de ransomwares et 1,2 % d’augmentation du nombre d’anciennes vulnérabilités liées à des ransomwares, par rapport au second trimestre 2021.

L’analyse révèle 12 nouvelles vulnérabilités liées à un ransomware pour le 3e trimestre 2021, ce qui fait un total de 278 vulnérabilités liées au ransomware. Parmi les 12 vulnérabilités nouvellement associées au ransomware, 5 permettent l’exécution de code à distance. Deux autres permettent l’exploitation des applications Web et peuvent être manipulées pour lancer des attaques par déni de service (DDoS). Le rapport montre également que les groupes de pirates utilisant le ransomware continuent à trouver et à exploiter des vulnérabilités Zero Day, avant même que les CVE soient ajoutées à la base de données National Vulnerability et avant la publication des correctifs. A titre d’illustration, le groupe REvil a découvert et exploité une vulnérabilité du logiciel Kaseya VSA alors que l’équipe de sécurité de l’entreprise travaillait activement pour concevoir un correctif.

En outre, le rapport identifie six nouvelles vulnérabilités actives et tendance associées au ransomware (ce qui fait un total de 140), ainsi que cinq nouvelles familles de ransomwares (pour un total de 151). Ces nouveaux groupes de pirates utilisant le ransomware ont rapidement capitalisé sur les vulnérabilités les plus dangereuses exploitées sur le terrain, comme PrintNightmare, PetitPotam et ProxyShell, au cours du 3e trimestre. L’analyse révèle également que les groupes de pirates utilisant le ransomware utilisent des techniques plus récentes, plus sophistiquées, comme le dropper en tant que service (SaaS) ou le cheval de Troie en SaaS. Le dropper en SaaS permet à un pirate débutant de diffuser un malware via des programmes qui, lorsqu’on les exécute, peuvent lancer une charge de traitement malveillante sur l’ordinateur de la victime. Le cheval de Troie en SaaS, également appelé malware en SaaS, permet à n’importe quel utilisateur doté d’une connexion Internet de se procurer et de déployer un malware personnalisé dans le Cloud, sans aucune installation.

De plus, le rapport signale trois vulnérabilités datant de 2020 (ou plus anciennes), nouvellement associées au ransomware au 3e trimestre 2021, ce qui amène le nombre total d’anciennes vulnérabilités liées au ransomware à 258... une proportion importante (92,4 %) de toutes les vulnérabilités liées au ransomware. Au 3e trimestre, le groupe de pirates Cring a ciblé deux anciennes vulnérabilités (CVE-2009-3960 et CVE-2010-2861), pour lesquelles il existe des correctifs depuis plus de dix ans.

Srinivas Mukkamala, Senior Vice President of Security Products, Ivanti, déclare : « Les groupes de pirates utilisant le ransomware continuent d’amener leurs tactiques à maturité, d’enrichir leur arsenal d’attaque et de cibler les vulnérabilités sans correctifs sur toute la surface d’attaque d’une entreprise. Ce rapport vise à aider les entreprises à prendre conscience des risques de sécurité et de l’exposition aux vulnérabilités de leur environnement et de leurs postes client, et à leur fournir des informations utiles pour y remédier plus rapidement. Il est essentiel que les entreprises adoptent une approche de la gestion des correctifs proactive et basée sur les risques, et qu’elles exploitent des technologies d’automatisation afin de réduire le délai moyen de détection, de découverte, d’élimination et de réaction aux attaques par ransomware et autres cybermenaces. »

Anuj Goel, P.-D.G. de Cyware, déclare : « Cette étude souligne le fait que le ransomware continue à évoluer et devient toujours plus dangereux, en raison des dommages catastrophiques qu’il peut infliger à l’entreprise ciblée. Ce qui est plus difficile, pour de nombreuses entreprises, c’est qu’un grand nombre de secteurs d’activité sont incapables de partager rapidement leurs indicateurs de compromission (IoC), quel que soit le secteur, d’une façon qui soit facile à traiter, à exploiter et à diffuser afin d’agir avant que l’attaque ne frappe. La gestion des risques organisationnels implique que les entreprises doivent trouver une stratégie collective de défense afin de disposer d’une visibilité en continu des surfaces d’attaque et des risques, respectivement, pour éviter d’énormes pertes de réputation, de clients et d’argent. Plus les cyberéquipes exploitent l’automatisation et les processus IT, plus elles sont performantes et efficaces pour contrer le ransomware. »

Aaron Sandeen, P.-D.G. de Cyber Security Works, dit : « Au troisième trimestre, nous avons constaté que les attaques par ransomware ont énormément gagné en sophistication et en fréquence. Nous avons également vu que la cybersécurité de nos clients a gagné en maturité, et qu’ils ont limité les risques, en collaborant constamment avec nous pour évaluer leurs vulnérabilités, incorporer notre intelligence des menaces dans leurs opérations quotidiennes et réduire les délais d’application des mesures correctives. »

Le rapport Ransomware Index Spotlight Report repose sur des données générées par différentes sources, y compris des données propriétaires appartenant à Ivanti et CSW, des bases de données de menaces disponibles pour le grand public, et les équipes de recherches sur les menaces et de tests de pénétration.