« Les Ransomware-as-a-Service ont joué un rôle significatif dans l’augmentation constante des attaques de ransomware sophistiquées. », commente Deepen Desai, Global CISO et Head of Security Research, Zscaler. « Leurs auteurs cherchent de plus en plus à passer inaperçus en lançant des attaques sans chiffrement, lors desquelles d’importants volumes de données sont exfiltrés. C’est pourquoi nous recommandons aux entreprises d’abandonner l’utilisation d’anciens produits ponctuels et d’opter plutôt pour une plateforme Zero Trust totalement intégrée. Cette approche permet de réduire la surface d’attaque, de prévenir les compromissions, de limiter les impacts en cas d’attaque réussie et d’empêcher l’exfiltration des données. »

L’évolution des ransomwares se caractérise par une tendance opposée entre la sophistication accrue des attaques et la diminution de la barrière à l’entrée pour les nouveaux groupes de cybercriminels. Cela s’explique en partie par la prévalence du RaaS, un modèle dans lequel les acteurs de la menace vendent leurs services sur le dark web pour 70 à 80 % des bénéfices générés par les ransomwares.
Ce modèle économique n’a cessé de gagner en popularité au cours des dernières années, comme en témoigne la fréquence des attaques par ransomware, qui a augmenté de près de 40 % au cours de l’année écoulée. En 2023, l’une des tendances les plus marquantes ayant suivi cette croissance est l’augmentation de l’extorsion sans chiffrement, un type de cyberattaque qui met l’accent sur l’exfiltration des données plutôt que sur l’utilisation de méthodes de chiffrement perturbatrices.

Principaux pays ciblés par les ransomwares
Les Etats-Unis ont été le pays le plus visé par les attaques de ransomware à double extorsion, avec 40 % de l’ensemble des victimes ayant élu domicile dans cette région. Les trois autres pays réunis, à savoir le Canada, le Royaume-Uni et l’Allemagne, ont subi moins de la moitié des attaques visant des entités américaines. Les familles de ransomware les plus répandues qui ont été suivies par Zscaler ThreatLabz sont BlackBasta, BlackCat, Clop, Karakurt et LockBit, qui représentent toutes une menace importante de pertes financières, de violations de données et de perturbations opérationnelles pour les particuliers comme pour les entreprises de toutes tailles.

Au cours de l’année écoulée, l’industrie a représenté le secteur le plus ciblé à l’échelle mondiale, la propriété intellectuelle et les infrastructures critiques étant des cibles particulièrement attrayantes. L’ensemble des groupes de ransomwares surveillés par Zscaler ont fait des victimes au sein de cette industrie, qui comprend des entreprises actives dans la production de biens pour des secteurs tels que l’automobile, l’électronique et le textile, pour ne citer que quelques exemples. Les recherches menées par Zscaler ont mis en évidence l’intérêt particulier de la famille de ransomwares BlackBasta pour les entreprises manufacturières, qui ont été ciblées par celui-ci dans plus de 26 % des cas.

Tendances croissantes des ransomwares
En 2021, ThreatLabz a recensé 19 familles de ransomwares qui adoptaient des méthodes par double ou multi-extorsion dans le cadre de leurs attaques. Depuis, le nombre de famille de ce type est passé à 44. Ces dernières sont populaires car, une fois les données chiffrées, les attaquants menacent de les divulguer en ligne pour exercer une pression supplémentaire sur les victimes et les inciter à payer. Les attaques d’extorsion sans chiffrement connaissent une popularité croissante. Ces attaques contournent le processus de chiffrement habituel, mais adoptent une tactique similaire en menaçant les victimes de divulguer leurs données en ligne si elles ne paient pas la rançon.

En adoptant cette tactique, les groupe de cybercriminels parviennent à générer des bénéfices plus rapidement et plus importants car ils éliminent les étapes de développement de logiciels et d’assistance au déchiffrement. De plus, ces attaques sont plus difficiles à détecter et attirent moins l’attention des autorités, car elles ne verrouillent pas les fichiers et les systèmes essentiels, évitant ainsi les temps d’arrêt associés à la récupération. Par conséquent, les attaques d’extorsion sans chiffrement ont tendance à ne pas perturber les opérations commerciales de leurs victimes, ce qui se traduit par des taux de signalement plus faibles. L’extorsion sans chiffrement s’est à l’origine fait connaître avec des groupes de ransomwares tels que Babuk et SnapMC. Au cours de l’année dernière, les chercheurs en sécurité ont observé l’émergence d’un certain nombre de nouvelles familles adoptant cette tactique d’extorsion sans chiffrement, comme Karakurt, Donut, RansomHouse et BianLian.

Protection contre les attaques par ransomware avec la plateforme Zscaler Zero Trust Exchange
Pour se prémunir efficacement contre les attaques par ransomware, il est essentiel d’adopter une approche de sécurité globale qui surveille chaque étape de la menace et réduit ainsi les dommages potentiels. La plateforme Zscaler Zero Trust Exchange offre un cadre Zero Trust global intégré à des mesures de protection avancées contre les ransomwares. Suivre les lignes directrices suivantes permet de limiter efficacement le risque d’être victime de ce type d’attaque.

1. Empêcher la compromission initiale : Appliquer des politiques de sécurité cohérentes qui garantissent une sécurité sans compromis en déployant des fonctionnalités avancées telles que l’inspection SSL approfondie, l’isolation du navigateur, le sandboxing en ligne et le contrôle d’accès basé sur des règles. Un moyen efficace d’empêcher l’accès aux sites web malveillants, de bloquer les voies de compromission initiale et de détecter les menaces inconnues avant qu’elles n’atteignent les utilisateurs.

2. Bloquer les utilisateurs compromis et les menaces internes : En combinant l’inspection des applications en ligne avec l’ITDR (détection et la réponse aux menaces d’identité) et des fonctionnalités de déception intégrées, il est possible de détecter, de tromper et de neutraliser efficacement les attaquants potentiels, qu’il s’agisse de menaces externes ou d’initiés ayant des intentions malveillantes.

3. Minimiser la surface d’attaque externe et éliminer les mouvements latéraux : Pour empêcher les attaquants de manœuvrer au sein du réseau, en déconnectant les applications d’Internet et en optant pour une architecture Zero Trust d’accès au réseau (ZTNA). En établissant des connexions directes entre les utilisateurs et les applications, ainsi qu’entre les différentes applications elles-mêmes, plutôt que de passer par le réseau, l’étendue potentielle d’une attaque est considérablement réduite.

4. Prévenir la perte de données : Appliquer des mesures de prévention contre la perte de données en ligne avec une inspection TLS complète et inspecter minutieusement les données en transit et au repos, afin de stopper efficacement les tentatives de vol de données. De quoi garder une longueur d’avance sur les acteurs de la menace en mettant régulièrement à jour les logiciels et en offrant une formation complète en matière de sécurité.

En tirant parti de la puissance de Zscaler Zero Trust Exchange et en adoptant ces bonnes pratiques, les entreprises sont à même de protéger proactivement leurs utilisateurs, leurs charges de travail, leurs appareils IoT/OT et leur connectivité B2B, de sorte que les données stratégiques restent à l’abri des menaces en constante évolution que constituent les attaques par ransomware.