Impacts de l'attaque de ransomware par double extorsion sur les entreprises et atténuation

La est présent depuis un certain temps et les experts en sécurité l'ont combattu de manière substantielle. Ils ont fourni sur les particuliers et les entreprises. Cependant, les techniques des acteurs malveillants évoluent également au même rythme pour continuer à causer des dommages.

En 2019, le monde a connu une nouvelle méthode d'attaque par rançongiciel : la double extorsion. L'attaque, qui était par un groupe malveillant- , ciblait Allied Universal, une société de sécurité. 10 % des données volées à la société de sécurité ont ensuite été rendues publiques en tant qu'avertissement des acteurs de la menace pour non-conformité. Le groupe Maze a également exigé 3,5 millions de dollars en rançon, sinon ils divulgueraient les 90 % de données restantes.

2020 a également vu des groupes malveillants comme REvil, Ragnar-locker et Lock bit rejoindre le labyrinthe pour participer à une exploitation réussie et dévastatrice des entreprises. Déjà, plus de ont été victimes de cette tactique, qui a coûté environ et devrait coûter 265 milliards de dollars d'ici 2031. L'une des entreprises était Cognizant, un grand fournisseur de services informatiques. La société a perdu environ 70 millions de dollars américains à , l'un des plus meurtriers de l'histoire.

Qu'est-ce qu'une attaque de ransomware à double extorsion

Dans une attaque de ransomware par double extorsion, des acteurs malveillants obtiennent un accès non autorisé à un réseau pour extraire et chiffrer des données dans l'espoir d'un paiement de rançon. Contrairement à la simple attaque de ransomware, cette méthode diminue l'effet des données sauvegardées. Les attaquants exploitent désormais les données extraites pour faire pression sur les victimes. Ils peuvent aller jusqu'à publier les données ou vendre à un concurrent si la victime refuse d'obtempérer.

Double extorsion avec des résultats impardonnables lorsqu'elle est exécutée avec succès. Les victimes sont soit confrontées à des pertes financières pour les acteurs de la menace, soit à la conformité et à la défiguration publique.

En 2022, cette procédure d'attaque a toujours le vent en poupe. Selon le , le secteur des soins de santé a connu une augmentation du double extorsion de 650 %, tandis que la restauration de 450 %. De plus, d'autres secteurs sont vulnérables à cette attaque, et le bilan continue d'augmenter avec l'implication du RAAS.

Comment fonctionne l'attaque Double Extortion Ransomware

L'attaque de rançongiciel à double extorsion commence comme une attaque passive qui se transforme en une attaque active dévastatrice comme le cryptage des données et DDOS. La séquence de ces attaques commence par un processus où l'attaquant doit accéder au système de l'entreprise via n'importe quel vecteur d'attaque.

Les vecteurs d'attaque peuvent être de l'ingénierie sociale ou de la programmation, qui incluent le phishing, la force brute sur les serveurs de bureau à distance, les logiciels malveillants, les exploitations de vulnérabilités, etc.

Une fois que l'acteur a accédé au système, il effectue une attaque de reconnaissance par mouvement latéral. À ce stade, il s'agit toujours d'une attaque passive car l'acteur se fait passer pour l'utilisateur d'origine pour échapper à la détection et obtenir des informations précieuses pour son attaque potentielle.

Lorsque l'acteur malveillant a recueilli des données précieuses, il exfiltre les données et déploie le code malveillant, qui crypte les données.

Impact de l'attaque de ransomware par double extorsion sur les entreprises

Groupe IB, dans son rapport, , a déclaré que l'attaque de ransomware par double extorsion avait augmenté d'environ 935 % les dommages. L'impact de ces dommages sur les entreprises concernées peut être énorme, selon leur taille. Plus encore, le délai de récupération de ces entreprises dépend de la rapidité avec laquelle elles réagissent et de la profondeur de l'attaque.

Défiguration de la marque

Les entreprises risquent de défigurer leur marque en raison de fuites de données et de DDOS. Travelex, une agence de voyages, a vu sa réputation tomber à l'eau dans le à la veille du nouvel an 2019.

Après avoir interrompu leurs services, ce qui a laissé les clients bloqués, REvil a également menacé de publier des données exfiltrées si l'entreprise refusait de payer la rançon. La double attaque de rançongiciel d'extorsion ici a été dévastatrice car même si Travelex s'est conformé pour restaurer les services et empêcher les fuites de données, la violation de la confidentialité et le DDOS ont porté atteinte à leur réputation.

Perte de fonds

Les entreprises dépendent des données sauvegardées pour éviter de perdre beaucoup de fonds à cause des événements de ransomware. Néanmoins, les chances que cela soit encore très efficace sont faibles en cas de double extorsion.

Les attaquants exploitent désormais les données exfiltrées ; les entreprises piratées devront payer la rançon, d'une valeur de plusieurs millions de dollars, ou faire divulguer leurs informations sensibles dans le domaine public. Avec des données précieuses sur ces entreprises exposées au public, elles peuvent encourir de lourdes amendes de conformité, comme ce fut le cas avec .

Plus encore, les entreprises qui ne cèdent pas aux demandes risquent de perdre la valeur de leurs actions lorsqu'elles sont vendues à découvert. Selon l'avis de la division cyber du FBI- , cette méthode a été introduite en 2020 par un membre de Revil Ransomware dans un forum de piratage. Et les attaquants utilisent sans relâche ce moyen pour faciliter l'extorsion. Par conséquent, les organisations sont vouées à perdre des fonds énormes une fois qu'elles subissent cette forme d'attaque.

Vulnérabilité des associés tiers

Étant donné que les attaquants ont un accès complet à un réseau d'entreprise, ils peuvent escalader leur accès aux partenaires et aux données des consommateurs. Avec cela, les acteurs de la menace peuvent exfiltrer ces données et exiger une rançon des partenaires ou des consommateurs.

Un exemple de cet événement était dans le cas de Les patients dont les données ont été consultées devaient payer une rançon. Un autre était l'événement où payer une rançon de 50 millions de dollars. C'était difficile pour Apple en raison de la compromission de leurs précieuses informations avec Quanta Computer Inc.

Prévalence des attaques de double extorsion Ransomware

L'utilisation de la méthode de double extorsion a triplé en raison de son succès. enregistre un pic d'environ 106 % d'exfiltration de données et un taux de réussite de 60 % pour les attaquants en 2022. Les chances penchent en faveur des acteurs malveillants et aucune entreprise n'est à l'abri d'être piratée ou à nouveau piratée.

Perte de personnel précieux

L'effet néfaste de cet incident peut faire en sorte qu'une entreprise perde la plupart de son précieux personnel. Selon le 2022 , 40 % des entreprises ont perdu leur personnel parce qu'elles ont été licenciées ou ont démissionné après un attentat.

Certaines petites et grandes entreprises perdent leurs employés parce qu'elles ne peuvent pas payer les salaires après une perte de fonds importante. Dans certains scénarios, la perte élevée de fonds est due au fait que les attaquants ont exigé une double rançon.

D'un autre côté, cela peut arriver parce que leurs actions chutent après avoir été exposées à des informations importantes sur des plateformes comme le NASDAQ.

Atténuation de l'attaque de ransomware par double extorsion

Avec l'augmentation des attaques de rançongiciels de double extorsion, vous n'avez pas besoin d'attendre après l'attaque avant d'agir. La proactivité est le meilleur moyen de lutter contre cette attaque. Bien que cela n'élimine pas les chances d'infiltrer une entreprise, cela minimise les chances. De plus, cela minimise les pertes en cas de rupture.

Appliquer la politique de confiance zéro

Les entreprises permettent aux particuliers d'avoir un accès privilégié à leur réseau, même dans les zones les plus sensibles. Lorsque cela se produit, ils placent l'architecture dans un endroit vulnérable pour une attaque de ransomware.

Les entreprises doivent pratiquer une politique de confiance zéro en restreignant l'accès à leur réseau. Ils doivent considérer tous les éléments de leur réseau, y compris les initiés, comme une menace probable. Il devrait y avoir une authentification obligatoire des éléments avant d'accorder l'accès.

Une autre recommandation consiste à créer une segmentation du réseau pour tous les accès accordés. Cette pratique limitera la propagation des logiciels malveillants.

Crypter les données

Le point de pression pour les acteurs malveillants qui utilisent cette série d'attaques est qu'ils ont exfiltré vos données et peuvent les publier si vous refusez de payer une rançon. Cependant, les entreprises peuvent prendre une longueur d'avance en chiffrant leurs données dès le départ.

En cryptant vos données, vous avez refusé à l'acteur malveillant l'accès à vos données, réduisant ainsi son pouvoir de négociation. L'auteur de la menace ne peut plus menacer de fuites de données ; le pire qu'il puisse faire est de chiffrer deux fois vos données.

Sauvegarde hors ligne

La double extorsion a fait apparaître la sauvegarde hors ligne comme une option moins efficace pour atténuer les actions malveillantes. Néanmoins, la sauvegarde hors ligne peut sauver votre entreprise des dommages si vous pratiquez le cryptage des données. De cette façon, même lorsque les attaquants doublent le cryptage de vos données, vous pouvez revenir aux données sauvegardées hors ligne.

Éducation des employés

L'émergence du covid 19 a vu le taux d'emplois à distance monter en flèche. Davantage d'employés peuvent désormais accéder aux réseaux sensibles via un routeur externe. Bien que cette évolution facilite la vie des travailleurs, elle crée davantage de vulnérabilités pour leurs employeurs.

Les attaquants exploitent l'ignorance de certains employés pour leurs exploits. Même les employés peuvent constituer une menace involontaire ; néanmoins, cela peut être évité grâce à la sensibilisation. La recommandation est que les entreprises intensifient la sensibilisation interne aux attaques de ransomwares et à leurs implications.

Évaluez votre réseau et corrigez les vulnérabilités

Les entreprises évaluent les lacunes de leur réseau de deux manières, selon la taille de leur infrastructure. Ils peuvent effectuer une évaluation ou une simulation de vulnérabilité par un testeur de stylo. Grâce à cela, ils peuvent repérer toute faille de sécurité et toute mauvaise configuration qui facilitent une attaque potentielle.

Il est également essentiel de corriger rapidement toutes les vulnérabilités et d'effectuer les mises à jour de sécurité nécessaires, sinon tout effort est vain, comme ce fut le cas pour Travelex. Avant l'attaque REvil, Kevin Beaumount, un chercheur en sécurité, a déclaré que depuis août 2019. Cependant, Travelex hésitait à le rafistoler, d'où leur chute.

Journal des données de surveillance

Les entreprises peuvent observer les activités des paquets sur leur réseau avec des outils qui les alertent lorsque quelque chose d'inhabituel se produit. En surveillant le journal des données, vous pouvez immédiatement repérer une attaque de logiciel malveillant et l'arrêter avant qu'elle ne s'intensifie.

Conclusion

Alors que les entreprises et les professionnels de la cybersécurité font de leur mieux pour sécuriser leur infrastructure, les attaquants de Ransomware redoublent d'efforts pour rendre le travail fastidieux.

Outre la double extorsion, les autres tactiques utilisées par les attaquants de ransomware incluent la triple extorsion et la quadruple extorsion. Les experts en cybersécurité doivent mettre à jour leurs connaissances et leurs compétences pour lutter contre ce problème.

De plus, les entreprises devraient être plus intentionnelles et dédiées à leur infrastructure de sécurité. Ils doivent adopter les tendances récentes en matière de sécurité et les mettre en œuvre dans leur organisation.