Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Ransomware : une menace encore omniprésente

septembre 2024 par Barracuda Networks

Selon une nouvelle étude menée par Barracuda Networks, Inc., partenaire de confiance et fournisseur de solutions de sécurité « cloud-first », les établissements de santé ont encore été des cibles privilégiées pour les cyberattaquants entre les mois d’août 2023 et juillet 2024. Le rapport indique également qu’un quart des incidents ont été détectés lorsque les attaquants ont commencé à écrire ou à modifier des fichiers, quand 44 % l’ont été durant un mouvement latéral. Ces résultats figurent dans le rapport annuel Threat Spotlight de Barracuda sur les ransomwares, qui explore les principaux schémas d’attaque au cours des 12 derniers mois.

Les établissements de santé restent en ligne de mire
Plus en détail, les chercheurs de Barracuda ont analysé un échantillon de 200 incidents signalés entre août 2023 et juillet 2024, impliquant 37 pays et 36 groupes de ransomware différents.
L’échantillon montre que 21 % des incidents ont touché des organismes de santé, soit une hausse de 2 % par rapport à l’année précédente, tandis que 15 % des attaques signalées visaient l’industrie manufacturière et 13 % les entreprises technologiques. Les incidents impliquant les établissements scolaires ont en revanche diminué de moitié par rapport à la période précédente, passant de 18 % entre 2022 et 2023 à 9 % aujourd’hui.

Des solutions prêtes à l’emploi pour les attaquants
Les Ransomeware as a Service (RaaS) ont le vent en poupe. C’est notamment le cas de LockBit, qui a été à l’origine d’une attaque sur six au cours des 12 derniers mois et représente 18 % des attaques où l’identité de l’attaquant est connue. ALPHV/BlackCat arrive ensuite (14 % des attaques), tandis que Rhysida, un groupe de ransomware relativement nouveau, représentait 8 % des attaques nommées.
« Les attaques par rançongiciel peuvent être difficiles à détecter et à contrer. Les différents groupes cybercriminels utilisent toute une panoplie d’outils et tactiques pour déployer un même payload » déclare Adam Khan, VP, Global Security Operations chez Barracuda Networks. « Heureusement, la plupart des attaquants utilisent les mêmes approches, telles que le balayage, les mouvements latéraux ainsi que le téléchargement de logiciels malveillants. Ces attaques peuvent déclencher des alertes de sécurité qui donnent aux équipes cyber plusieurs occasions de détecter, de contenir et d’atténuer ces incidents avant qu’ils ne s’amplifient. Ceci est particulièrement important dans les environnements informatiques où toutes les machines ne sont pas complètement sécurisées. »

Les principaux outils d’attaque et comportements détectés en 2024

Selon les données de détection de Barracuda Managed XDR’s Endpoint Security, au cours des six premiers mois de 2024, les principaux indicateurs d’une activité probable de ransomware sont les suivants :

• Mouvement latéral : un peu moins de la moitié (44 %) des attaques par ransomware ont été repérées par des systèmes de détection surveillant les mouvements latéraux.
• Modifications de fichiers : un quart (25 %) des attaques ont été détectées par le système chargé de noter l’écriture ou la modification des fichiers et de les analyser. Le but étant de voir s’ils correspondent à des signatures de ransomware connues ou à des schémas suspects.
• Comportement anormal : 14 % ont été découverts par le système de détection qui identifie les comportements anormaux au sein d’un système ou d’un réseau. Ce système apprend du comportement typique des utilisateurs, des processus et des applications. Lorsqu’il détecte des écarts (tels qu’un accès inhabituel à des fichiers, une altération des composants du système d’exploitation ou une activité réseau suspecte), il déclenche une alerte.
Une enquête détaillée sur une attaque maitrisée du ransomware PLAY visant une entreprise de technologie de la santé, ainsi que sur un autre incident 8base touchant une entreprise d’entretien automobile ont révélé que les attaquants tentent de s’implanter sur des appareils non protégés. Ils y dissimulent ensuite les fichiers malveillants dans des dossiers de musique et de vidéo, rarement utilisés dans un cadre professionnel.


Voir les articles précédents