Ransomware et le rôle de la cyberassurance
Les rançons sont un fléau depuis longtemps et il s’aggrave. J’ai récemment eu l’occasion de parler des rançons et de la cyber assurance avec le chef de l’équipe Global Claims pour les sinistres Cyber & Tech chez Beazley. ; celui-ci a une grande expérience des questions de confidentialité des données et de cyber sécurité, notamment en guidant les assurés dans leurs réponses immédiates et complètes aux violations de données et aux intrusions dans les réseaux.
Voici une série de Questions/Réponses à mes questions :
Coverlians : Quelles tendances avez-vous observées avec le développement des logiciels de rançon ?
L’Assureur : Le paysage des logiciels de rançon a connu un changement spectaculaire au cours des cinq dernières années, avec une augmentation de la fréquence, de la complexité et de la gravité des attaques. Il y a eu une prolifération du nombre de groupes d’attaque, et les méthodes utilisées par les mauvais acteurs ont évolué au fil du temps. Rien qu’à Beazley, l’augmentation annuelle des attaques de logiciels contre rançon entre l’année civile 2018 et 2019 a été de 131 %.
En 2015 et 2016, les logiciels malveillants utilisés pour lancer des attaques avec demande de rançon étaient généralement introduits dans le réseau d’une entreprise par le biais d’une exécution automatisée, délivrée par des campagnes d’envoi de courriers électroniques de type « spearfishing ». Les utilisateurs finaux cliquaient sur une pièce jointe, ce qui entraînait le cryptage de certaines données et/ou de certains terminaux. Ces attaques étaient conçues pour s’étendre à l’ensemble du réseau, et il n’y avait généralement aucune preuve que les mauvais acteurs avaient infiltré les zones du réseau qui abritaient des données sensibles. Les demandes de rançon étaient l’équivalent de quelques milliers de dollars à cinquante mille dollars, et il était rare que les sauvegardes de l’entreprise soient cryptées par le malware.
En 2017, les attaques sont devenues plus sophistiquées, avec des attaques par force brute de ports de protocoles de bureaux distants ouverts, des tentatives de récolte d’informations d’identification et l’exécution manuelle du logiciel malveillant. Les enquêteurs médico-légaux ont commencé à voir des preuves que les mauvais acteurs tentaient de se déplacer sur le réseau, dans certains cas en accédant à des données sensibles, ce qui a entraîné des violations à signaler. Les demandes de rançon étaient encore relativement faibles, mais s’aventuraient parfois à atteindre des montants à six chiffres.
À partir de la fin de 2017 (et jusqu’à aujourd’hui), nous avons commencé à observer des perturbations plus ciblées, les mauvais acteurs utilisant des formes plus sophistiquées de logiciels malveillants pour obtenir un meilleur accès et causer plus de dommages. Les malfaiteurs ont commencé à utiliser plus régulièrement des chevaux de Troie bancaires et d’autres formes de logiciels malveillants persistants pour effectuer une reconnaissance du réseau et se déplacer latéralement dans le réseau, lançant l’attaque par logiciel rançon soit lorsqu’ils sont détectés, soit lorsque le réseau hôte n’est plus utile. Les enquêtes médico-légales menées après coup révèlent qu’une fois dans le réseau, les mauvais acteurs désactivent les logiciels antivirus pour éviter la détection, recherchent les références de l’administrateur système, créent des comptes de contrôleur de domaine pour obtenir un accès complet aux systèmes, recherchent des données sensibles qui peuvent être monétisées, et recherchent et cryptent des sauvegardes facilement accessibles et non segmentées du réseau. Les demandes de rançon associées à ces attaques sont régulièrement de l’ordre de six chiffres, et à l’été 2019, elles ont commencé à atteindre des sommes de sept et huit chiffres.
Plus récemment, les groupes de rançon ont encore augmenté la mise en jeu en menaçant de rendre publique l’attaque et/ou les données exfiltrées du réseau de l’entreprise au cours de l’attaque. Certains des acteurs connus pour ces tactiques vont jusqu’à diviser la demande de rançon en un montant fixe pour la clé de décryptage, et un montant séparé pour éviter la divulgation publique de l’incident.
…Suite dans un prochain article