Barracuda full logo

Threat Spotlight : les attaques de ransomware signalées doublent en volume alors que les tactiques d'IA s'imposent

Thèmes:
2 août 2023
|
Fleming Shi

En 2023, l’intelligence artificielle et l’IA générative ont dominé l’actualité, et leur impact sur les attaques par ransomware commence à être visible, par exemple avec des attaques par phishing améliorées par l’IA pour accéder aux réseaux cibles et l’automatisation basée sur l’IA pour augmenter la portée. Au cours des 12 derniers mois, cela a permis aux ransomwares d’atteindre des sommets. Leur fréquence ne montre pas de signe de ralentissement à ce jour. Selon nous, malgré la réussite des méthodes d’attaque traditionnelles en 2023 et au-delà, les pirates feront de plus en plus appel à l’IA générative pour concevoir des attaques plus efficaces.

Nos chercheurs ont analysé 175 attaques par ransomware signalées publiquement dans le monde entre août 2022 et juillet 2023. Dans les principales catégories que nous avons suivies (municipalités, établissements de santé et d’enseignement), le nombre d’attaques signalées a doublé depuis l’année dernière et plus que quadruplé depuis 2021. 

Attaques de ransomware par secteur ciblé de 2021 à 2023
Alors que les attaques visant les secteurs liés à l’infrastructure sont moins nombreuses que celles ciblant les trois principaux secteurs, l’infrastructure a toutefois enregistré deux fois plus d’attaques que l’année dernière. Les municipalités et les établissements d’enseignement restent des cibles faciles, car leurs ressources sont limitées, et les attaques réussies dans le domaine de la santé et des infrastructures ont un impact immédiat et potentiellement grave sur les vies humaines, ce que les cybercriminels tentent d’exploiter pour augmenter la probabilité d’être payés. Dans de nombreux pays, un ou plusieurs de ces secteurs peuvent être légalement obligés de signaler les incidents de cybersécurité, ce qui augmente la visibilité de ces attaques. 
Attaques de ransomware par secteur ciblé

La proportion d’attaques par ransomware a augmenté d’une année sur l’autre dans les cinq secteurs majeurs, à l’exception des institutions financières. Les attaques contre les municipalités sont passées de 12 à 21 % ; les attaques contre les établissements de santé sont passées de 12 à 18 % ; les attaques contre les établissements d’enseignement sont passées de 15 à 18 % ; et celles visant les infrastructures sont passées de 8 à 10 %. À l’inverse, les attaques contre les institutions financières ont chuté de 6 à 1 %, peut-être le signe que ces institutions réussissent davantage à se protéger.   

Notre analyse des attaques par ransomware sur d’autres secteurs a montré des tendances similaires ces deux dernières années, même si le volume d’attaques signalées publiquement est inférieur à celui des trois principaux secteurs.  

Attaques par ransomware dans les autres secteurs de 2021 à 2023
En particulier, les attaques par ransomware visant des éditeurs de logiciels ont augmenté, et parce que la plupart des entreprises utilisent des logiciels, ces attaques sur la chaîne d’approvisionnement peuvent entraîner des attaques dans les autres secteurs. La production industrielle, les médias et la vente au détail ont également connu plus d’attaques d’une année sur l’autre. 
Attaques par ransomware dans les autres secteurs

L'impact des tactiques d'IA générative sur les attaques de ransomware

Autre fait nouveau l’année passée : l’essor de l’IA générative, que les pirates utilisent déjà pour élaborer des e-mails de phishing bien rédigés. Grâce aux capacités d’écriture de l’IA générative, les cyberattaquants, y compris ceux qui cherchent à lancer des ransomwares, peuvent désormais frapper plus rapidement et avec une meilleure précision, car les fautes d’orthographe et les erreurs de grammaire dans les e-mails de phishing sont plus facilement supprimées, ce qui rend les attaques plus convaincantes et plus difficiles à détecter.

Pendant des années, nous avons tous appris à repérer les attaques par e-mail en recherchant les fautes de grammaire et d’orthographe, des défauts qui ont probablement disparu aujourd’hui, étant donné les textes que les attaquants peuvent créer à l’aide de modèles linguistiques génératifs pré-entraînés et, dans certains cas, dans différentes langues, en utilisant même des analyses automatisées des médias sociaux pour rendre les attaques plus personnalisées.

Les chercheurs en sécurité montrent déjà que les pirates peuvent utiliser les capacités de génération de code de l’IA générative pour écrire un code malveillant et exploiter les vulnérabilités logicielles.

En raison de ces changements, toute personne capable de créer une invite d’IA malveillante et qui a accès à des outils de type ransomware en tant que service est susceptible de lancer une attaque par ransomware, ce qui pourrait donner lieu à une vague d’attaque inédite.

Enseignements du SOC de Barracuda

Bien que le volume des attaques par ransomware signalées publiquement ait doublé dans certains secteurs, il est indéniable que le volume d’attaques non signalées a également augmenté de façon spectaculaire. En examinant les cyberattaques dans leur ensemble à travers le prisme du SOC-as-a-service de Barracuda au cours des 12 derniers mois, nous avons observé les types d’incidents suivants : piratage des messageries professionnelles (« business email compromise » ou BEC), ransomware, infection par un logiciel malveillant, menace interne, vol d’identité, et fuite de données. La taille de l'échantillon est réduite car l'écrasante majorité des attaques sont stoppées avant qu'elles ne deviennent des incidents, mais il y a tout de même des indications intéressantes sur la façon dont les attaques progressent.

Le BEC est le type d'incident le plus fréquent. Ce piratage peut entraîner un vol d’identité et une infection par des logiciels malveillants, ce qui conduit ensuite aux ransomwares et, finalement, à la fuite de données, car les acteurs malveillants trouvent des moyens d’exfiltrer les données.

Réponse aux incidents du SOC de Barracuda par type d'attaque

Ce graphique nous montre clairement à quelle phase l’attaque a été détectée. Il est encourageant de constater que des mesures ont été prises pour détecter et bloquer les attaques lors de la phase Piratage de la messagerie professionnelle. Si vous ne parvenez pas à détecter et à prévenir une attaque avant qu’elle ne s’infiltre dans le réseau, alors répondre le plus tôt possible dans la chaîne de destruction peut réduire l’exposition et les dégâts engendrés. En examinant le graphique, nous pouvons repérer les relations entre ces incidents. Voyons cela de plus près.

Un piratage de messagerie professionnelle incite généralement la victime à répondre et à divulguer des données ou à réagir par une action qui fait progresser l’attaque vers le côté droit du cadre MITRE ATT&CK. Si ce piratage n’est pas détecté, la phase suivante de l’attaque peut être une infection par malware ou un vol d’identité. Dans ce cas, les attaquants se déplacent latéralement au sein du réseau de la victime, sans être détectés, en accédant à des données et en semant des graines pour la prochaine vague d’attaques.

C’est pourquoi nous rappelons régulièrement la nécessité d’utiliser des outils tels que la XDR pour barrer la route aux pirates dès que vous recevez des alertes de sécurité des e-mails, en particulier des événements de type BEC et de piratage de compte. Barracuda est un contributeur majeur de l’Open Cybersecurity Schema Framework pour cette raison. Nous publions nos signaux de menace email au format OCSF afin que nos clients et partenaires puissent instrumenter des réponses pour court-circuiter la cyber kill chain.

Par exemple, plusieurs attaques par détournement de conversation détectées par nos agents et qui conduisent à des piratages de messagerie professionnelle sont dues à de grandes quantités d’e-mails dérobés en 2021, vols attribués à la vulnérabilité ProxyLogon ou CVE-2021-26855 dans Exchange. Les attaquants relancent actuellement ces conversations et lancent de nouvelles attaques par usurpation d’identité en répondant aux parties concernées. En profitant d’une mauvaise configuration des paramètres DMARC ou en utilisant simplement des domaines falsifiés qui ressemblent au vrai domaine, les attaquants peuvent envoyer des e-mails de spear-phishing aux destinataires de ces conversations volées il y a deux ans. Cette tactique exploite la faiblesse du comportement humain : nous faisons confiance à la conversation au lieu de revalider l’origine de l’e-mail, et cela peut entraîner une attaque par ransomware et une violation de données au niveau de l’entreprise.  

Nos chercheurs constatent également de nombreux incidents dans lesquels des entreprises aux ressources limitées semblent être victimes de ransomwares à plusieurs reprises parce que leurs plans de continuité d’activité et de reprise après sinistre sont loin d’être au point. Nous avons vu des attaquants s’attaquer à des systèmes de sauvegarde, en particulier s’ils sont hébergés sur le même domaine et exécutés en tant que systèmes virtuels. Comme nous le savons, de nombreux hyperviseurs ou hôtes de conteneurs présentent des vulnérabilités qui exposent les ressources, et les attaquants peuvent les détourner. La technique s’appelle « Escape to Host » selon le framework MITRE, et elle est utilisée par les cybercriminels pour empêcher les victimes de récupérer leurs données si elles ne paient pas la rançon.

Bonnes pratiques qui peuvent renforcer la résilience contre les attaques incessantes de ransomware

Détection et prévention

Les entreprises doivent avoir des mesures et des outils en place pour détecter et prévenir les attaques dès le départ.

Dans le contexte actuel, où les menaces évoluent rapidement, cela signifie mettre en place des technologies de sécurité à plusieurs couches, dont la protection des e-mails basée sur l’IA et des mesures d’accès Zero Trust, la sécurité des applications, la chasse aux menaces, des capacités XDR et une réponse efficace aux incidents, le but étant de repérer les intrus et de combler les failles afin de compliquer la tâche des attaquants qui essayent d’installer des portes dérobées, de voler ou de chiffrer des données.

Mais d’après notre rapport 2023 sur le marché des ransomwares publié cette année, 73 % des entreprises ont subi une attaque par ransomware qui a abouti, c’est pourquoi il est tout aussi important de faire preuve de résilience et d’être capable de se remettre d’une attaque.

Résilience et récupération

Même avec des ressources limitées, vous pouvez toujours parvenir à vous remettre d’une attaque par ransomware. Tout d’abord, il faut s’attendre à ce que les attaquants s’en prennent à l’infrastructure liée à la continuité des activités et à la reprise après sinistre, y compris les systèmes de sauvegarde. Nous avons observé de nombreux cas au cours desquels les pirates ne demandent pas de rançon tant qu’ils ne sont pas totalement sûrs que la victime a des moyens limités pour récupérer ses données. Voici quelques conseils pour vous préparer à ces attaques.

1. Les principales surfaces d’attaque de la solution de sauvegarde sont l’interface utilisateur et le stockage, vous devez donc :

  • Segmenter et isoler les systèmes de sauvegarde
  • Utiliser un autre référentiel utilisateur (par exemple, un protocole d’accès Active Directory distinct du protocole d’accès Lightweight Directory), de préférence sans aucune présence sur les réseaux sociaux
  • Utiliser des mécanismes d’authentification multifacteur (MFA) plus forts que les notifications Push, avec lesquelles les pirates peuvent mettre en place des tentatives à haut volume, ce qui a pour effet de lasser l’utilisateur. Passez à l’authentification basée sur le Zero Trust avec des fonctionnalités sans mot de passe, telles que la biométrie sur les appareils autorisés pour l’authentification de l’interface utilisateur
  • Utiliser le chiffrement et ne pas utiliser de stockage partagé avec d'autres charges de travail

2. Si les politiques de sauvegarde et la documentation du processus de récupération sont divulguées, les pirates les utiliseront contre les victimes pour s’assurer que la récupération est impossible sans payer la rançon.

  • Protégez les politiques et la documentation grâce au chiffrement et n'autorisez que l'accès par des utilisateurs privilégiés
  • Conservez vos politiques et la documentation sur le processus de reprise après incident dans un autre format, comme des versions papier et physiquement distribuées

3. Séparez votre stockage de l’environnement opérationnel habituel de votre administrateur et créez un air gap si vous pouvez le faire en toute sécurité. Le cloud est la meilleure option dans ce cas, mais vous devez tenir compte du fait qu’Internet est encombré et que les exécutions de reprise après incident ne seront pas rapides. D’autres façons de sécuriser vos sauvegardes méritent d’être mentionnées :

  • Utiliser le Zero Trust pour accéder à votre solution de sauvegarde
  • Réduire les accès grâce au contrôle d'accès basé sur les rôles
  • Implémenter un stockage de fichiers immuable
  • Éviter le « partage réseau » pour votre environnement de sauvegarde
  • Utiliser une solution entièrement intégrée spécialement conçue pour que les logiciels et le matériel soient combinés

4. Les hyperviseurs de machines virtuelles sont malheureusement des surfaces d’attaque supplémentaires que les acteurs malveillants peuvent utiliser pour infiltrer la solution de sauvegarde. Ainsi, nous recommandons toujours d’utiliser une solution d’appliance de sauvegarde désignée lorsque l’objectif de temps de récupération est exigeant. L’élaboration de solutions de récupération après sinistre faites maison est une très mauvaise idée.

5. N’oubliez pas la sauvegarde sécurisée des données stockées dans le cloud. Par exemple, à travers vos comptes Microsoft 365 et d’autres applications SaaS enregistrées sous Azure AD, vous trouverez des ressources de données essentielles qui nécessitent une classification continue des données, un contrôle d’accès et une stratégie pour une authentique protection des données. 

Obtenez le rapport 2023 sur le marché des ransomwares
Fleming Shi

Fleming Shi est directeur technologique chez Barracuda et, à ce titre, dirige les équipes d'ingénieurs spécialisés dans la recherche et l'innovation pour permettre l'émergence des plateformes technologiques de demain. Il a déposé plus de 20 brevets et demandes de brevets dans le domaine de la sécurité des réseaux et des contenus. Connectez-vous avec lui sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Premiers signes d’attaques par ransomware basées sur l’IA
Premiers signes d’attaques par ransomware basées sur l’IA
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.