Tandis que la plupart des avions restaient cloués au sol, les attaques par rançongiciels ont décollé au premier semestre 2020. Depuis, les sauvegardes filtrant nos e-mails et fichiers dans le cloud se multiplient. Rassurés ?
Le Groupe M6, le CHU de Rouen et Fleury Michon, tous trois victimes de ransomwares l’an passé, livrent un témoignage éclairant dans le guide de sensibilisation, publié par l’ANSSI avec le ministère de la Justice, et destiné aux entreprises et collectivités : Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident.
Selon David Grout, directeur technique EMEA de FireEye, les attaques à base d’extorsion et de rançonnage se multiplient en France. « En novembre 2019, le CHU de Rouen était au cœur de l’actualité, certainement la partie visible de l’iceberg car l’hôpital se doit d’opérer 24h sur 24 et tout impact sur son infrastructure est tout de suite visible. Malheureusement ce type de paralysie se multiplie et nous n’aurons de cesse d’encourager les entreprises à se protéger, et à mettre en place l’ensemble des gardes fous permettant de limiter le risque au maximum. L’utilisation de machines outils/métiers, mais aussi un manque de ségrégation des réseaux informatiques sont des facteurs aggravants dans ce type d’attaques car l’impact devient très rapidement global et la paralysie complète. »
Des hackers en mal de reconnaissance
Cet été, les sociétés Canon et Xerox ont été victimes d’attaques de ransomware menées par le groupe de cybercriminels Maze soupçonné d’avoir préparé de multiples vols de données ciblant les multinationales.
« Maze est un groupe de cybercriminalité hautement professionnalisé qui vise autant la notoriété que l’argent : ils identifient des cibles viables, infiltrent leurs systèmes, cryptent les données aux endroits qui maximisent les dégâts et menacent de publier les données si la rançon n’est pas payée. Dans ce cas, le vol de photos personnelles pourrait bien être ce qui garantit un paiement plus rapide pour les attaquants. Le spear-phishing, l’usurpation d’identité et l’exploitation de serveurs Internet vulnérables sont tous des moyens par lesquels des groupes comme Maze peuvent pénétrer dans l’entreprise de leur victime. Si une attaque est viable, alors les pirates informatique s’y intéresseront » explique Max Heinemeyer, Director of Threat Hunting chez Darktrace.
Selon lui, la parade la mieux adaptée passe par des algorithmes d’intelligence artificielle : « Les ransomwares sont souvent de nouveaux logiciels malveillants et ne sont donc pas détectés par les outils de sécurité traditionnels. L’IA est le meilleur rempart contre ces attaques car elle est non seulement capable d’identifier le comportement anormal associé à une attaque de ransomware, mais aussi de perturber l’activité à la vitesse de l’ordinateur. »
SolarWinds mise sur l’intelligence collective
L’objet des messages électroniques de ransomwares est souvent retors. Quelques exemples vus au plus fort de la pandémie :
- Masque facial à usage unique, efficace contre le virus, respirant
- Fonds de solidarité de l’OMS en réponse au COVID-19 : FAITES UN DON MAINTENANT
- Alerte de sécurité. Votre mot de passe a été compromis. Vous devez changer de mot de passe.
- Veuillez lire attentivement ce message ! Vos données personnelles sont menacées !
- Des auteurs malveillants connaissent vos anciens mots de passe. Les données d’accès doivent être modifiées.
« L’e-mail est un moyen de communication très utilisé en entreprise, mais aussi un vecteur courant pour les attaques malveillantes. Le Covid-19 a bouleversé les habitudes de gestion des entreprises, mais il a également créé d’énormes opportunités pour les acteurs malveillants » observe Alex Quilter, Vice-président de la gestion des produits chez SolarWinds MSP qui estime qu’il incombe aux prestataires de services managés de sensibiliser leurs clients et de fournir les stratégies et outils nécessaires pour lutter contre les cyber-menaces.
« Une base de sécurité solide contribue à réduire les risques de vos clients. Un filtrage fiable des e-mails empêchera notamment les menaces de parvenir aux utilisateurs. »
L’intelligence collective de SolarWinds Mail Assure rassemble les données de plus de 23 millions de boîtes aux lettres gérées, soit plus de 3 milliards de messages traités par mois.
Le salut est-il dans le cloud ?
L’éditeur Acronis lance True Image 2021, un logiciel associant des fonctions antimalware avancées à la sauvegarde personnelle pour une cyber protection plus complète.
La technologie antimalware inclut une protection en temps réel optimisée par une analyse heuristique comportementale à base d’IA, une détection de virus à la demande, un filtrage web et une protection des vidéoconférences Zoom, Cisco Webex ou encore Microsoft Teams.
L’approche d’Acronis, intégrant sauvegarde et cyberprotection, intervient à point nommé face à l’expansion du télétravail. « La sauvegarde sans cybersécurité ne suffit pas, comme la cybersécurité sans sauvegarde. Acronis True Image 2021 apporte justement les garanties d’une cyber protection simple, efficace et fiable dans le paysage des menaces actuelles » estime Serguei Beloussov, fondateur et CEO d’Acronis.
Les collectivités très attaquées
L’éditeur McAfee note pour sa part que les attaques ransomware se transforment en vol de données, les cybercriminels volant des données avant leur chiffrement.
McAfee Labs constate une moyenne de 375 nouvelles menaces par minute et une utilisation de PowerShell sept fois plus fréquente.
Le nombre d’attaques divulguées visant le secteur public a augmenté de 73%, tandis que celles ciblant les particuliers ont cru de 59% en un an. Les menaces ciblant les services cloud ont été multiplié par 6,3 ; elles se concentrent sur les services de collaboration en ligne principalement.
« Cette année, nous avons constaté l’adaptation rapide des cybercriminels à exploiter la pandémie, et l’impact considérable qu’ont eu ces cyberattaques, note Raj Samani, Chief Scientist et Fellow chez McAfee. Ce qui a commencé comme un filet de campagnes de phishing et d’applications malveillantes occasionnelles s’est rapidement transformé en un déluge d’URL malveillants et d’acteurs capables de tirer parti de la soif mondiale d’informations sur le COVID-19 comme mécanisme d’entrée dans les systèmes informatiques du monde entier ».
« Que ce soit en utilisant le protocol Remote Desktop Protocol, faiblement protégé, ou via des données volées, nous avons observé que les acteurs malveillants s’adaptent très rapidement pour connaître le réseau de leurs victimes et voler efficacement puis chiffrer leurs données » retient Christiaan Beek, Lead scientist & Sr. Principal Engineer chez McAfee.
Asigra gère l’authentification multifacteur
L’éditeur Asigra a lancé Asigra Cloud Backup, une plateforme incluant l’authentification multifacteur en profondeur, plusieurs couches de protection du paramétrage des règles de sécurité, et plusieurs techniques pour éviter l’effacement ou le chiffrement involontaire des données de sauvegarde.
Le prix d’entrée de cette solution, via TAS France, est établi à 0,15€ par mois et par Go de données sauvegardées. Un tarif qui décroit à mesure que le volume protégé augmente.
La plate-forme Secure Cloud Backup d’Asigra fait converger la protection des données et la cybersécurité pour une détection efficace des logiciels malveillants et une protection qui garantit une récupération des données sûre, sécurisée et fiable.
La plateforme comprend une technologie de prévention des attaques « zero-day » baptisée Loop. Elle constitue une suite défensive complète contre les rançongiciels avancés et autres cyber-attaques visant les données de sauvegarde. Cette technologie a reçu la certification FIPS 140-2 et retient un chiffrement de niveau militaire pour garantir la sécurité des données de l’entreprise.
« La cybersécurité est devenue le nouveau champ de bataille de la protection des données, car les pirates développent des techniques criminelles innovantes qui mettent en danger les opérations commerciales légitimes, entraînant soit le paiement forcé de rançons, soit la perte de données, résume Eran Farajun, EVP d’Asigra. Comme il suffit d’une attaque de phishing réussie pour arracher la connexion à un administrateur sans méfiance, l’authentification centrée sur les applications ajoute une série de portes pour arrêter les attaques et alerter l’organisation avant que des dommages ne se produisent. »