Le rapport montre également 7,5 % d’augmentation du nombre de groupes APT (Advanced Persistent Threat) associés aux ransomwares, 6,8 % d’augmentation du nombre de vulnérabilités en tendances et activement exploitées, et 2,5 % d’augmentation du nombre de familles de ransomwares. Pour mieux comprendre ces chiffres, l’analyse montre que trois nouveaux groupes APT (Exotic Lily, APT 35 et DEV-0401) ont eu recours à des ransomwares pour attaquer leurs cibles, que 10 nouvelles vulnérabilités actives et en tendances sont désormais associées à des ransomwares (le total est aujourd’hui de 157) et que quatre nouvelles familles de ransomwares (AvosLocker, Karma, BlackCat et Night Sky) sont devenues actives au cours du premier trimestre 2022.

En outre, le rapport souligne que les attaques par ransomwares transforment les vulnérabilités en « armes » plus rapidement que jamais, et ciblent spécifiquement celles susceptibles de provoquer un maximum de perturbation et d’impact. Les attaques par ransomware des groupes de cybercriminels gagnent donc en sophistication. D’autre part, les vulnérabilités sont exploitées dans les huit jours qui suivent la publication des correctifs par les fournisseurs. Cela signifie aussi que les créateurs de ransomwares sont à l’affût du moindre relâchement dans les mesures de sécurité appliquées par les fournisseurs tiers et les entreprises pour s’introduire dans un réseau vulnérable et à l’infiltrer. Pis encore : plusieurs vulnérabilités de ransomwares clés ne sont pas détectées par certains des scanners les plus reconnus. Les recherches montrent que plus de 3,5 % des vulnérabilités de ransomwares ne sont pas traitées, ceci expose les entreprises à de graves dangers.

Aaron Sandeen, CEO de Cyber Security Works, explique : « Le fait que les scanners ne détectent pas certaines vulnérabilités de ransomware critiques est un véritable problème pour les entreprises. Les experts CSW (Cyber Security Works) traquent continuellement ces éléments au cours de leurs recherches et de leurs analyses. La bonne nouvelle, c’est que nous avons constaté une diminution de leur nombre ce trimestre. Les concepteurs de scanners prennent donc le problème au sérieux. Cela dit, il existe toujours 11 vulnérabilités de ransomwares que les scanners ne détectent pas, 5 d’entre elles sont considérées comme « Critiques » et associées à des ransomwares célèbres comme Ryuk, Petya et Locky. »

Les équipes Sécurité et IT sont, de plus, lésées par les vides qui subsistent dans la base NVD (Base de données nationale des vulnérabilités des États-Unis), dans la liste CAPEC (Common Attack Pattern Enumeration and Classification) de la MITRE Corporation, et dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA (Cybersecurity and Infrastructure Security Agency) aux États-Unis. Le rapport révèle qu’il manque des CWE (Common Weakness Enumerations) dans la base NVD pour 61 vulnérabilités, et qu’il en manque dans la liste CAPEC pour 87 vulnérabilités. En outre, chaque semaine, la base NVD compte en moyenne une vulnérabilité de ransomware supplémentaire une fois celle-ci divulguée par un fournisseur. De même, 169 vulnérabilités associées aux ransomwares n’ont pas encore été ajoutées à la liste KEV de la CISA. Pendant ce temps, les cybercriminels du monde entier ciblent activement 100 de ces vulnérabilités, scrutant les entreprises pour trouver LA vulnérabilité sans correctif qu’ils vont pouvoir exploiter.

Srinivas Mukkamala, SVP et General Manager of Security Products Ivanti, déclare : « Les cyberattaquants ciblent de plus en plus les faiblesses de notre cyberhygiène, y compris les processus de gestion des vulnérabilités traditionnels. Aujourd’hui, de nombreuses équipes IT et Sécurité peinent à identifier les risques que représentent ces vulnérabilités, d’où leur difficulté à les prioriser. Par exemple, un grand nombre appliquent des correctifs uniquement aux nouvelles vulnérabilités ou à celles qui figurent dans la base NVD. D’autres s’appuient uniquement sur le score CVSS (Common Vulnerability Scoring System) pour les prioriser. Pour mieux protéger les entreprises des cyberattaques, les équipes IT et Sécurité doivent adopter une approche de la gestion des vulnérabilités basée sur les risques. Cela exige une technologie d’IA capable d’identifier l’exposition des entreprises et les menaces actives, d’avertir très tôt de l’exploitation d’une vulnérabilité en tant qu’arme, de prévoir les attaques et de prioriser les mesures correctives. »

L’enquête s’est aussi intéressée à 56 fournisseurs de logiciels du secteur de la santé, de dispositifs médicaux et de matériel utilisé dans les hôpitaux et établissements de santé, et a découvert 624 vulnérabilités uniques dans leurs produits. 40 de ces vulnérabilités ont été exploitées publiquement et deux d’entre elles (CVE-2020-0601 et CVE-2021-34527) sont associées à 4 opérateurs de ransomwares (BigBossHorse, Cerber, Conti et Vice Society). Malheureusement, cela pourrait indiquer que le secteur de la santé va être ciblé plus agressivement par les ransomwares dans les mois à venir.

Anuj Goel, Co-founder et CEO de Cyware, déclare : « Le ransomware est aujourd’hui l’un des vecteurs d’attaque prédominants et affecte le chiffre d’affaires des entreprises du monde entier. Le rapport du 1er trimestre souligne ce fait à l’aide de nouveaux chiffres, qui montrent une augmentation du nombre des vulnérabilités de ransomwares et des groupes APT qui les utilisent. Cependant, l’une des principales inquiétudes des équipes de sécurité, aujourd’hui, concerne le manque de visibilité sur les menaces du fait du cloisonnement des informations dans des sources disparates. Pour pouvoir limiter proactivement les attaques par ransomware, les équipes de sécurité doivent rattacher leurs correctifs et leur réponse aux vulnérabilités à un workflow centralisé de gestion de la « threat intelligence », capable d’offrir une visibilité complète sur les vecteurs de ransomwares (dont la forme change sans cesse), via « l’absorption » et la corrélation des informations de plusieurs sources diverses, et des actions de sécurité. »

Le rapport « Ransomware Index Spotlight Report » se base sur des données collectées par différentes sources, comprenant notamment des données propriétaires appartenant à Ivanti et CSW, des bases de données de menaces accessibles publiquement, et des informations publiées par des équipes réalisant des tests d’intrusion et des recherches sur les menaces. Cliquez ici pour lire le rapport complet.

À propos de Cyware
Cyware aide les équipes de cybersécurité des entreprises à construire des centres de cyberfusion indépendants de la plateforme. Cyware transforme les opérations de sécurité en proposant à ses clients une plateforme de centre de cyberfusion et des outils SOC de nouvelle génération (NG-SOC), qui orchestrent l’ensemble des activités SecOps grâce à des fonctions de SOC automatisé (ASOC). Les entreprises deviennent ainsi plus rapides et plus précises, tout en réduisant leurs coûts et en allégeant la charge de travail des analystes. Les solutions de cyberfusion de Cyware rendent la collaboration sécurisée, le partage d’informations et l’amélioration de la visibilité des menaces possibles pour les entreprises, les communautés de partage (ISAC/ISAO), les MSSP et les instances gouvernementales, quels que soient leurs besoins et leur taille. Visitez le site cyware.com pour en savoir plus, ou suivez-nous sur LinkedIn et Twitter.

À propos de CSW
CSW est une entreprise de services de cybersécurité dont le cœur de métier est la gestion de la surface d’attaque et les tests de pénétration en tant que service. Nos innovations en matière de recherche des vulnérabilités et de leurs exploitations nous ont permis de découvrir plus de 45 Zero Days dans des produits populaires, notamment Oracle, D-Link, WSO2, Thembay, Zoho, etc. Nous sommes devenus une autorité de numérotation des CVE, qui donne des moyens à des milliers de « chasseurs de prime » des bugs, et joue un rôle critique dans l’effort mondial de gestion des vulnérabilités. Leader reconnu des recherches et analyses des vulnérabilités, CSW a toujours un temps d’avance, pour aider les entreprises du monde entier à sécuriser leurs activités face à des menaces qui évoluent sans cesse. Pour en savoir plus, visitez le site www.cybersecurityworks.com, ou suivez-nous sur LinkedIn et Twitter.