Les autorités de sécurité mettent en garde contre une professionnalisation croissante de la scène des ransomwares et s’attendent à ce que les attaques graves se poursuivent. L’année dernière, on a pu observer une division croissante du travail parmi les cybercriminels et le développement du secteur d’activité « ransomware-as-a-service », indique un avis de sécurité publié conjointement par les autorités américaines Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI) et National Security Agency (NSA), ainsi que par l’Australian Cyber Security Centre (ACSC) et le National Cyber Security Centre (NCSC-UK) britannique.

Selon l’alerte AA22-040A, le phishing, le protocole RDP (Remote Desktop Protocol) et l’exploitation de failles de sécurité connues restent les vecteurs d’attaque les plus utilisés par les groupes de ransomware. Les autorités de sécurité s’attendent à ce que le nombre de cas continue d’augmenter. La tendance au bureau à domicile et au télé-enseignement, qui se poursuit pendant la pandémie, a augmenté la surface d’attaque des cybercriminels, tandis que les administrateurs peinent à appliquer les correctifs nécessaires, expliquent les autorités.

Ransomware-as-a-Service

En outre, le « business » des ransomwares s’est encore professionnalisé l’année dernière, préviennent les autorités. Les ransomwares sont de plus en plus souvent proposés sous forme de services (Ramsomware-as-a-Service, RaaS). Parallèlement, selon les observations des autorités, un écosystème de services apparentés s’est établi, qui s’occupent par exemple de négocier les rançons et leurs paiements. Certains maîtres chanteurs proposent désormais à leurs victimes un « support » accessible en permanence afin d’accélérer les paiements.

Les autorités de sécurité observent en outre une coopération croissante entre les groupes criminels connus. « Les groupes de ransomware de la région eurasienne échangent des informations sur leurs victimes et augmentent ainsi la menace pour les organisations ciblées », préviennent les autorités. Ainsi, le groupe BlackMatter aurait transmis ses victimes à Lockbit 2.0 lorsqu’il s’est retiré des affaires. Le gang Conti aurait commencé à vendre des accès aux réseaux de ses victimes en octobre 2021.

Selon les observations des autorités américaines, on constate une désaffection pour la « chasse au gros gibier » parmi les groupes actifs aux États-Unis. Dans la « chasse au gros gibier », les attaquants de ransomware visaient jusqu’à présent des cibles très grandes et donc lucratives. L’année dernière, des attaques réussies contre des exploitants d’infrastructures comme Colonial Pipelines et le plus grand producteur de viande au monde JBS Foods avaient fait les gros titres. Par la suite, les autorités et les politiques avaient augmenté la pression sur le milieu, raison pour laquelle les auteurs s’étaient tournés vers des cibles moins connues.

Attaques via le cloud et les services gérés

Les infrastructures critiques et l’industrie restent néanmoins des cibles très vulnérables, préviennent les autorités. En outre, les acteurs s’attaquent désormais aussi aux fournisseurs de cloud et autres prestataires de services d’infrastructure. Ainsi, les fournisseurs de services gérés (MSP) ont récemment été pris pour cible par les gangs de ransomware, car ils jouissent d’une grande confiance auprès de leurs clients. Un MSP compromis permet ainsi de s’attaquer à plusieurs cibles. Les autorités de sécurité s’attendent à une augmentation de ce type d’attaques via un MSP.

En principe, les autorités mettent en garde contre le paiement de la rançon demandée. « Tant que le modèle commercial criminel génère un retour sur investissement pour les acteurs du ransomware, les incidents continueront à se multiplier », soulignent l’ACSC, la CISA, le FBI, le NCSC-UK et la NSA. « Chaque rançon payée confirme la rentabilité et l’attrait financier du modèle d’entreprise criminel des ransomwares ». Aux États-Unis, le paiement de rançons est soumis à une obligation de notification et est sévèrement sanctionné.

Les autorités rappellent les nombreuses mesures qui devraient être prises pour prévenir les attaques de ransomware. En premier lieu, tous les systèmes devraient toujours être à jour et les correctifs pour les failles de sécurité devraient être appliqués rapidement. Dans les environnements cloud notamment, il faut veiller à ce que les machines virtuelles et les applications soient à jour. Les autorités recommandent également le cryptage de bout en bout du trafic réseau. Etant donné que les attaquants se faufilent à travers les réseaux d’entreprise après une intrusion, il est recommandé de segmenter le réseau et de renoncer dans une large mesure au protocole SMB. Les services potentiellement dangereux comme RDP devraient être étroitement surveillés. Et toujours : informer les utilisateurs des méthodes actuelles de phishing et les sensibiliser.

Liste de contrôle en cas d’urgence

En cas d’attaque, les autorités renvoient à une liste de contrôle dans le Ransomware Guide de la CISA. Les éventuelles sauvegardes devraient être vérifiées avant d’être importées afin de détecter une éventuelle attaque. L’incident devrait être signalé aux autorités compétentes. « Les responsables des entreprises de tous les secteurs et du secteur public devraient prendre des mesures immédiates pour sécuriser leurs systèmes et collaborer avec les autorités d’enquête afin de maîtriser cette menace », a déclaré Bryan Vorndran de la division cybercriminalité du FBI.