Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sophos publie une série de rapports sur les réalités des ransomwares

août 2020 par Sophos

Sophos publie sur SophosLab Uncut une série d’études concernant les réalités liées aux ransomwares. Celles-ci incluent un rapport sur les nouvelles techniques visant à éviter la détection utilisées lors d’attaques menées par WastedLocker, qui utilisent des E/S mappées en mémoire pour le chiffrement de fichiers. Un second article se penche sur la course aux nouvelles techniques d’évasion dans le domaine des ransomwares et révèle la manière dont, en quelques mois, les cybercriminels ont modifié et fait évoluer leurs techniques, tactiques et procédures (TTP) d’évasion, depuis l’apparition du ransomware Snatch, en décembre 2019.

Cette série d’articles détaille également les cinq signes avant-coureurs qui montrent qu’une entreprise est sur le point de subir une attaque de ransomware et les raisons pour lesquelles de telles attaques se poursuivent.

« La réalité, c’est que les ransomwares ne sont pas près de disparaître. Chez Sophos, nous avons vu des groupes de cyberattaquants comme WastedLocker révolutionner les tactiques d’évasion. Certains d’entre eux ont même trouvé le moyen de contourner les outils anti-ransomwares basés sur le comportement. C’est le dernier exemple en date de cyberattaquants qui se retroussent les manches et utilisent de nouvelles techniques visant à désactiver manuellement les logiciels, afin de préparer le terrain pour une attaque de ransomware généralisée. Des techniques furtives, comme l’exfiltration de données et la désactivation des sauvegardes, sont autant d’autres signes avant-coureurs. Plus les attaquants passent de temps sur le réseau, plus ils sont en mesure de provoquer des dégâts », déclare Chester Wisniewski, principal chercheur chez Sophos. « C’est pourquoi il est nécessaire de mettre à contribution l’intelligence et une intervention humaine afin de détecter et de neutraliser les signes annonciateurs d’une attaque. Il est impératif que les entreprises soient informées de cette tendance à la hausse et qu’elles renforcent leur périmètre de défenses en désactivant les outils d’accès à distance, comme les protocoles de bureau à distance (RDP) lorsque cela est possible, afin d’interdire aux criminels l’accès à leur réseau, un dénominateur commun à de nombreuses attaques de ransomwares analysées par Sophos. »

La combinaison entre ces changements dans le comportement des attaquants et le développement des environnements de travail à distance ou hybrides, conséquence de la pandémie du COVID-19, indique que les entreprises doivent faire de la sécurité de leurs systèmes d’informations une priorité. Il est également nécessaires que celles-ci mettent en place des mesures de sécurité pour se prémunir contre les menaces futures et anticiper les attaques d’adversaires qui ne cessent de s’adapter et de repousser les limites, profitant de la surface d’attaque étendue en raison de la crise du COVID-19.

La série d’études publiée par Sophos comprend

• The realities of ransomware : extortion goes social
• WastedLocker’s techniques point to a familiar heritage
• Ransomware’s evasion-centric arms race
• 5 signs you’re about to be hit by ransomware
• Ransomware : why it’s not just a passing fad

Conseils à appliquer dès à présent pour protéger le système
• Désactiver les RDP connectés à Internet pour empêcher les cybercriminels d’accéder au réseau
• Si besoin d’accéder à un RDP, il est recommandé d’utiliser une connection VPN
• Mettre en place des couches de sécurité supplémentaires, telles que la technologie endpoint detection and response (EDR) et des équipes d’intervention qui surveillent le réseau en permanence, afin de prévenir et de détecter les menaces tout en protégeant
• Prendre connaissance des cinq signes avant-coureurs qui indiquent la présence d’un cyberattaquant sur le réseau afin de tuer dans l’œuf les attaques par ransomwares

Des chercheurs issus de SophosLabs et de Sophos Managed Threat Response ont contribué à cette série.




Voir les articles précédents

    

Voir les articles suivants