RaaS :les attaques de ransomware sur la chaîne d'approvisionnement en toute simplicité

Le cloud devenant le principal moyen d'accéder à un nombre croissant d'offres logicielles, il semble que chaque application migre actuellement vers un modèle de prestation « as-a-service ». Il n'est donc pas surprenant que les ransomwares se soient lancés dans le train du cloud.

Découvrez le ransomware-as-a-service (RaaS), un moyen pré-emballé et facile à déployer pour verrouiller les réseaux de données puis extorquer leurs propriétaires pour un paiement - généralement sous la forme de Bitcoin ou d'un autre type de crypto-monnaie - pour les déverrouiller .

Comme les formes les plus populaires de services gérés, le RaaS peut inclure une assistance technique 24h/24 et des forums d'utilisateurs dédiés à tirer le meilleur parti de l'application. Les acheteurs peuvent acquérir la « solution » de plusieurs manières, notamment par le biais d'un abonnement mensuel, de frais de licence uniques ou d'un partage des bénéfices avec le fournisseur de logiciels. Quelle que soit la manière dont il peut être fourni, le RaaS a un objectif commun :infliger un chaos numérique et engranger d'énormes profits dans le processus. C'est l'une des principales raisons pour lesquelles les revenus des ransomwares ont grimpé à environ 20 milliards de dollars aux États-Unis l'année dernière, selon Cybersecurity Ventures.

Apparemment disponible sur le dark web depuis environ 2016, le RaaS s'est rapidement développé depuis lors comme moyen de propagation des ransomwares. La chaîne d'approvisionnement mondiale, composée de multiples partenaires indépendants de toutes tailles et de tous niveaux de sophistication technologique, est particulièrement vulnérable aux attaques. Les grands fabricants, distributeurs et détaillants peuvent se croire en sécurité, ayant dépensé des millions pour des mesures de sécurité strictes au sein de leurs propres maisons, mais le fournisseur le plus petit et le moins important peut servir de porte d'entrée à une multitude de données sensibles sur les clients et les opérations. Selon certaines estimations, les deux tiers de toutes les cyberattaques passent actuellement par la chaîne d'approvisionnement.

Les appareils mobiles, qui ont explosé en nombre et en applications au cours de la dernière décennie, sont des vecteurs populaires d'infection. « Supposons qu'un sous-traitant d'un développeur vienne pour créer une extension logicielle basée sur une API pour un client », explique Padmini Ranganathan, vice-président mondial de la stratégie produit chez SAP Procurement. « Comment savez-vous que leur code est sécurisé ? Ou qu'ils protègent les appareils qu'ils utilisent ?"

Les réseaux doivent être tout aussi vigilants dans la protection des systèmes embarqués dans le cloud, dit Ranganathan. Et bien que la technologie cloud ne soit pas une menace de sécurité automatique, elle augmente les niveaux de risque avec la prolifération des appareils liés à l'Internet des objets. Les entreprises doivent réagir en effectuant des audits rigoureux de tous les appareils et systèmes qui ont accès à leurs données, à la fois en externe et en interne, dit-il.

Le RaaS permettant aux cybercriminels de détenir plus facilement des réseaux contre rançon, on pourrait penser que les entreprises privées et les agences gouvernementales prendraient un soin particulier pour protéger leurs données. La vague d'attaques de ransomware ces dernières années suggère que ce n'est pas le cas. Rien qu'en 2021, les victimes ont inclus un oléoduc, un emballeur de viande, un distributeur de produits chimiques, un constructeur automobile et même un service de ferry sur Martha's Vineyard. Il ne semble pas y avoir de modèle concernant l'entité touchée - seulement qu'elles se sont toutes révélées vulnérables à une forme d'attaque qui est devenue d'une facilité alarmante à mettre en place.

Les petits fournisseurs - ou les grands, d'ailleurs - pourraient faire valoir qu'ils n'ont pas les ressources nécessaires pour investir dans la cybersécurité. Ranganathan suggère qu'ils ne voient pas le problème avec le bon état d'esprit. Certes, des mesures de sécurité appropriées peuvent être coûteuses à acquérir et constituer un frein temporaire au bilan. Mais quel est le coût d'une reprise après une cyberattaque, en particulier une demande de rançon pouvant atteindre des millions de dollars ? Ou les retombées de la perte de clients furieux que leurs données personnelles sensibles aient été compromises en raison de la négligence d'un détaillant ou d'un fournisseur de services ? "Nous sous-estimons le concept de valeur à risque", déclare Ranganathan.

Un aspect important de la cybersécurité ne coûte pas nécessairement plus cher. Il s'agit de la sensibilisation et de la diligence de la part des employés quant à la menace de violations par un certain nombre de systèmes et d'appareils. Rien ne doit être digne de confiance au départ ; souvent, une attaque réussie peut être attribuée à la négligence humaine, et non aux vulnérabilités de la technologie.

Les techniques des hackers, bien sûr, ne cessent d'évoluer. L'attaque de ransomware d'aujourd'hui est susceptible de prendre une toute nouvelle forme dans les années à venir. La technologie s'efforcera de suivre le rythme de la menace en constante évolution, mais une vigilance constante de la part des concepteurs de systèmes et même des utilisateurs les plus occasionnels est essentielle.

Les entreprises doivent accorder la même attention à la sécurité des systèmes qu'au monde plus éblouissant des ventes, du marketing et du développement de nouveaux produits. Ranganathan déclare : « Nous ne pouvons pas détourner les yeux de l'hygiène architecturale au nom de l'innovation rapide. »