Les groupes de ransomwares continuent à gagner en volume et en sophistication : 35 vulnérabilités étaient associées aux ransomwares au cours des trois premiers trimestres 2022 et il existe 159 exploitations actives en vogue. Pour compliquer les choses, le manque de données suffisantes et de contexte des menaces fait qu’il est difficile pour les entreprises d’appliquer efficacement des correctifs à leurs systèmes et d’atténuer correctement l’exposition aux vulnérabilités.

Le rapport identifie 10 nouvelles familles de ransomwares (Black Basta, Hive, BianLian, BlueSky, Play, Deadbolt, H0lyGh0st, Lorenz, Maui et NamPoHyu), ce qui fait un total de 170. Avec 101 CVE à hameçonner, les pirates aux ransomwares s’appuient de plus en plus sur des techniques de phishing pour attirer des victimes sans méfiance afin de diffuser leur charge de traitement malveillante. Pegasus en est un exemple parlant : un simple message de phising a été utilisé pour créer l’accès initial par porte dérobée, associé à des vulnérabilités iPhone, ce qui conduit à l’infiltration et à la mise en danger de nombreuses personnalités du monde entier.

Les ransomwares ont besoin d’une interaction humaine. Le fait que le phishing soit le seul vecteur d’attaque est faux. Ivanti a analysé 323 vulnérabilités de ransomware actuelles (dans le cadre du MITRE ATT&CK Framework) et a les mis en correspondance avec des tactiques, techniques et procédures exactes pouvant servir de chaîne de mise à mort (kill chain) pour attaquer une entreprise. Ivanti a aussi constaté que 57 d’entre elles conduisent à une prise de contrôle complète du système, de l’accès initial jusqu’à l’exfiltration.

Le rapport identifie également deux nouvelles vulnérabilités de ransomware (CVE-2021-40539 et CVE-2022-26134), qui ont toutes deux été exploitées par des familles de ransomwares prolifiques, comme AvosLocker et Cerber, avant ou le jour même de leur inclusion à la base de données NVD (National Vulnerability Database) . Ces statistiques soulignent que, si les entreprises s’appuient uniquement sur la divulgation de la base NVD pour corriger les vulnérabilités, elles sont susceptibles de se faire attaquer.

Le rapport montre que, dans le catalogue des vulnérabilités exploitées connues (KEV) de la CISA, qui fournit aux entreprises du secteur public et aux agences gouvernementales des États-Unis la liste des vulnérabilités à corriger dans un délai précis, il manque 124 vulnérabilités de ransomware.

Srinivas Mukkamala, Chief Product Officer chez Ivanti, explique : « Pour mieux se protéger des ransomwares et autres menaces, les équipes IT et Sécurité doivent adopter de toute urgence une approche de la gestion des vulnérabilités basée sur les risques. Cela implique de faire appel à des technologies d’automatisation capables de corréler les données de plusieurs sources (scanners de réseau, bases de données de vulnérabilités internes et externes, et tests de pénétration), de mesurer les risques, d’émettre une alerte précoce en cas de militarisation, de prévoir les attaques et de prioriser les activités de remédiation. Les entreprises qui continuent à s’appuyer sur des pratiques traditionnelles de gestion des vulnérabilités, comme se limiter à consulter la base NVD et autres bases de données publiques pour prioriser les vulnérabilités et appliquer les correctifs, resteront en grand danger de subir une cyberattaque. »

Et la nécessité d’aller au-delà des pratiques traditionnelles de gestion des vulnérabilités est renforcée par le fait que les scanners populaires passent à côté de certaines vulnérabilités. Le rapport montre que 18 vulnérabilités liées aux ransomwares ne sont pas détectées par les scanners les plus courants.

Aaron Sandeen, PDG de Cyber Security Works, dit : « C’est très inquiétant, si les scanners dont vous dépendez n’identifient pas les vulnérabilités exposées. Les entreprises doivent adopter une solution de gestion de la surface d’attaque capable de découvrir les expositions pour tous les actifs de l’entreprise. »

De plus, le rapport analyse l’impact des ransomwares sur les infrastructures critiques, les trois secteurs les plus touchés étant la santé, l’énergie et l’industrie de fabrication de produits essentiels. Le rapport montre que 47,4 % des vulnérabilités de ransomware affectent les systèmes de santé, que 31,6 % affectent les systèmes énergétiques et que 21,1 % affectent la fabrication critique.

Anuj Goel, co-fondateur et PDG de Cyware, déclare : « Même si les stratégies de récupération après incident se sont améliorées au fil du temps, le vieil adage selon lequel mieux vaut prévenir que guérir sonne toujours vrai. Pour correctement analyser le contexte de menaces et prioriser efficacement les actions d’atténuation proactive, l’intelligence des vulnérabilités destinée aux SecOps doit être opérationnalisée via une orchestration résiliente des processus de sécurité, afin de garantir l’intégrité des actifs vulnérables. »

Le rapport donne un aperçu des tendances actuelles et futures sur les ransomwares. Notamment, il indique que la demande de logiciels malveillants multiplateformes a explosé, car les opérateurs de ransomwares peuvent ainsi cibler facilement plusieurs systèmes d’exploitation via une seule base de code. Le rapport révèle également un nombre important d’attaques contre des fournisseurs tiers de solutions de sécurité et de bibliothèques de codes logiciels, entraînant une pléthore de victimes potentielles. À l’avenir, les entreprises peuvent s’attendre à voir de nouveaux gangs de pirates aux ransomwares émerger, puisque des groupes importants comme Conti et DarkSide sont supposément fermés. Ces nouveaux gangs vont sans doute réutiliser ou modifier le code source et les méthodes d’exploitation qu’avaient adoptés ces groupes disparus.

Le rapport « Ransomware Index Spotlight Report » repose sur des données générées par différentes sources, y compris des données propriétaires appartenant à Ivanti et CSW, des bases de données de menaces disponibles pour le grand public, et les équipes de recherches sur les menaces et de tests de pénétration. Cliquez ici pour lire le rapport complet.