Code Morse et double extorsion :l'état des logiciels malveillants aujourd'hui

Le ransomware n'est pas étranger aux réseaux d'entreprise, car il présente des risques énormes et des efforts de récupération encore plus importants qui sont assez coûteux. Les attaques de ransomware réussies peuvent entraîner le verrouillage des systèmes, le vol d'identité et la prise d'otages, ce qui peut semer le chaos et le désastre pour les organisations ciblées.
Lorsque le ransomware atteint sa cible, la partie est pratiquement terminée. Le malware crypte les fichiers et se propage à l'ensemble du système pour maximiser les dommages, ce qui oblige de nombreuses entreprises à verrouiller les réseaux pour arrêter la propagation.

Bien que le cryptage soit utilisé partout, il ne doit pas être confondu avec le hachage ou l'obscurcissement des fichiers. Les techniques de hachage et d'obscurcissement sont utiles pour échapper aux outils de détection, tandis que les ransomwares prennent vos données en otage à cause du cryptage.

Chacun utilise différents types de cryptographie, des chiffrements symétriques modernes aux chiffrements asymétriques, l'idée étant d'empêcher toute opération inverse sans clé.

De nombreuses souches de ransomware affichent une « note spéciale » après le cryptage, indiquant que le seul moyen de décrypter les fichiers est d'envoyer des Bitcoins dans le portefeuille des criminels. Cependant, comme nous le savons, certaines formes de ransomware sont décryptable, et la rançon n'a pas besoin d'être payée, ou le fardeau ne devrait pas incomber uniquement à la cyber-assurance. Par exemple, Jigsaw, une ancienne forme de malware inventée pour la première fois en 2016, contient la clé utilisée pour crypter les fichiers dans le code source. Nous avons récemment vu ce type d'attaque refaire surface cette année dans le code Morse, prouvant que même si les logiciels malveillants continuent d'évoluer, les criminels utiliseront tout ce qui fonctionne, ce qui signifie que les entreprises doivent être conscientes non seulement des menaces en évolution, mais aussi des anciennes méthodes d'attaque.

Les attaques récentes ne se contentent pas de chiffrer les données. Le malware est également capable d'exfiltrer des informations critiques avant le cryptage. À mesure que la protection contre les ransomwares s'améliore, en particulier avec les stratégies de suppression et de récupération, les pirates se tournent vers l'utilisation des données volées comme nouvel levier afin de continuer à menacer les victimes si elles ne paient pas la rançon, créant ainsi une double menace de ransomware.

Nous avons récemment observé des acteurs malveillants adopter un modèle de « double extorsion », dans lequel ils cryptent les données de la cible et non seulement demandent une rançon pour son retour, mais tirent également parti d'incitations de paiement supplémentaires pour faire pression sur la victime pour qu'elle paie la rançon. Certains acteurs de la menace utiliseront même une approche plus ciblée et menaceront de publier ou de mettre aux enchères les données à moins que la victime ne paie, une situation qui met en évidence le risque de ne pas respecter le règlement général sur la protection des données (RGPD) de l'UE et les centaines de données politiques et lois sur la confidentialité. Deux de ces exemples sont Conti et REvil, tous deux sur notre liste 2021 des Nastiest Malware, qui sont connus pour publier des données divulguées sur des sites Web sombres si les rançons ne sont pas payées.

Un moyen essentiel d'améliorer la cyber-résilience (la capacité de résister aux attaques et d'assurer un accès continu aux données) est d'avoir une stratégie de sauvegarde solide. Cependant, les efforts peuvent devenir vains si les organisations oublient de lister et d'identifier clairement leurs besoins, puis ne testent pas régulièrement leurs procédures pour éviter des défaillances massives aux pires moments.

La protection des données est une question d'atténuation des risques, et vous devez vous poser quelques questions clés pour avoir le plan le plus complet :

• Comment vos données sont-elles liées à vos opérations commerciales ou à vos revenus, et les données doivent-elles être archivées ?
• Les données vivent-elles dans un ancien système où elles pourraient être soumises à des cadres réglementaires qui pourraient exposer votre entreprise à des sanctions en cas de violation de données ?
• De quelles données votre entreprise ne peut-elle pas se passer ?
• Combien de temps faut-il pour restaurer ces données ?
• Combien cela peut-il coûter pour une restauration complète ?

Les cybercriminels continueront d'affiner leurs approches et d'expérimenter différents modèles commerciaux, car les attaques de ransomware évolutives exercent une pression énorme sur la disponibilité des services et des flux de données.

Bien que ces adversaires continueront sans aucun doute à rechercher des moyens supplémentaires de faire pression sur les victimes pour maximiser leurs chances d'être payées, vous pouvez être habilité à préserver ce qui vous est le plus précieux aujourd'hui en déployant de solides pratiques de cyber-résilience, à la fois maintenant et à l'avenir.

David Dufour est vice-président de la cybersécurité et de l'ingénierie des renseignements sur les menaces avec Sociétés Webroot et Carbonite, OpenText.