La grande majorité des attaques par ransomware commencent par l’exploitation, par les cybercriminels, d’erreurs de cybersécurité courantes. Si elles étaient correctement gérées, elles pourraient empêcher la plupart des victimes d’être la proie d’attaques.
Microsoft a analysé des données anonymes sur l’activité réelle des menaces et, selon le nouveau rapport Cyber Signals, a découvert que plus de 80 % des attaques par ransomware peuvent être attribuées à des erreurs de configuration courantes dans les logiciels et les appareils.
Il s’agit notamment d’applications laissées dans leur état par défaut, permettant un accès à l’ensemble du réseau par tous les utilisateurs, d’outils de sécurité non testés ou mal configurés, d’applications en cloud configurées d’une manière qui peut facilement permettre à des intrus non autorisés d’y accéder, et d’organisations n’appliquant pas les règles de réduction de la surface d’attaque de Microsoft, ce qui permet aux attaquants d’exécuter du code malveillant à l’aide de macros et de scripts.
Le modèle du Ransomware-as-a-service
Ce sont ces configurations erronées que les attaquants de ransomwares recherchent lorsqu’ils cherchent des cibles vulnérables pour des attaques de ransomwares – souvent avec la menace supplémentaire de doubles extorsions, où les cybercriminels volent des données sensibles et menacent de les publier s’ils ne sont pas payés.
Microsoft prévient que ce processus a été favorisé par la croissance de l’écosystème ransomware-as-a-service (RaaS), qui permet aux attaquants ne disposant pas de l’expertise technique nécessaire de créer et de développer leur propre ransomware pour mener des attaques et extorquer des rançons.
Les kits RaaS sont relativement faciles à trouver sur les forums clandestins et peuvent inclure un service d’assistance clientèle, offrant ainsi aux criminels toute l’aide dont ils ont besoin pour se lancer. Certains de ces kits de ransomware sont vendus par abonnement, tandis que d’autres sont basés sur des modèles d’affiliation, où les développeurs prennent une part des bénéfices sur chaque paiement de rançon effectué pour une clé de déchiffrement.
Nouvelles menaces
Le marché du RaaS est également extrêmement fluide, de nouvelles menaces apparaissant au fur et à mesure que les offres établies disparaissent. Par exemple, le rapport explique que depuis que Conti – l’un des ransomwares les plus connus – a apparemment fermé ses portes, le vide a été comblé par l’apparition d’autres ransomwares, notamment LockBit, Hive, Quantum Locker et Black Basta.
Il est probable que certains des cybercriminels à l’origine de Conti soient impliqués dans ces nouvelles menaces, qui visent des organisations du monde entier – mais Microsoft affirme qu’il est possible d’éviter d’en être victime.
« Si les rançongiciels ou la double extorsion peuvent sembler l’issue inévitable d’une attaque menée par un attaquant sophistiqué, les rançongiciels sont une catastrophe évitable. Le fait que les attaquants s’appuient sur les faiblesses de sécurité signifie que les investissements dans la cyber-hygiène sont d’une grande utilité », indique le rapport Cyber Signals.
Les recommandations de Microsoft
Pour empêcher les cybercriminels d’exploiter les erreurs et les mauvaises configurations courantes, Microsoft détaille plusieurs recommandations pour améliorer la cybersécurité.
Il s’agit notamment de fermer les angles morts de la sécurité en vérifiant que les outils et procédures de cybersécurité sont correctement configurés de manière à protéger les systèmes, ainsi que de désactiver les macros et autres scripts que les cybercriminels exploitent couramment pour exécuter du code malveillant.
Il est également recommandé de renforcer la sécurité des personnes, des réseaux et des services en cloud en recourant à l’authentification multifactorielle, qui peut empêcher les cybercriminels d’utiliser des noms d’utilisateur et des mots de passe volés pour se déplacer sur le réseau et jeter les bases d’attaques par ransomware.
Les organisations doivent également appliquer les correctifs et les mises à jour de sécurité aussi rapidement que possible pour empêcher les attaquants d’exploiter les vulnérabilités connues.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));