Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
De Wannacry aux RansomOps
Cinq ans plus tard, qu’avons-nous retenu de Wannacry ? Leçon de chose maintenant que les RansomOps nous menacent.
Il y a cinq ans, le 12 mai 2017, commençait le périple à travers les systèmes informatiques de la moitié du monde de Wannacry, le logiciel malveillant qui exploitait une vulnérabilité de Windows et parvenait à chiffrer des fichiers et à demander une rançon aux utilisateurs de plus de 230 000 ordinateurs dans 150 pays.
Il s’agissait peut-être de la première infection mondiale par ransomware de l’histoire. Cinq années se sont écoulées depuis l’une des plus grandes cyberattaques de tous les temps. Pour Vectra AI, il est temps de repenser les stratégies de sécurité pour contrer les RansomOps modernes.
Espionnage sophistiqué et industrialisé
L’impact sur le monde de la cybersécurité a été considérable. Tout d’abord, Wannacry a été l’une des premières attaques de ransomware de l’histoire récente à être largement médiatisée, à tel point que même les non-initiés ont été alertés. Même les personnes n’occupant pas de fonctions techniques au sein des entreprises se sont rendu compte de la dangerosité et des dommages que pouvait causer la menace des ransomwares.
Ensuite, les outils utilisés par Wannacry pour violer les systèmes ont pu être retracés directement dans des toolkits volés aux États, ce qui prouve que l’espionnage sophistiqué des cybercriminels est de plus en plus populaire parmi les opérateurs de niveau inférieur. Wannacry a donc été un signal d’alarme pour les programmes de sécurité qui, jusqu’alors, avaient intérêt à maintenir le statu quo. Elle a mis en évidence la nécessité de mesures de sécurité plus proactives, démontrant l’insuffisance de simples pare-feu pour assurer la protection des systèmes.
Des ransomwares aux RansomOps
Cinq ans après Wannacry, les organisations ont acquis une nouvelle conscience de la sécurité informatique. Entre-temps, toutefois, les ransomwares ont également évolué et le niveau de menace n’a cessé de croître. Plutôt que de ransomware, il serait préférable aujourd’hui de parler de RansomOps. Les menaces actuelles reposent principalement sur des tactiques modernes et interactives mises en œuvre par des opérateurs humains, qui ont remplacé l’approche semi-guidée et programmée d’une attaque via des vers informatiques comme l’était Wannacry. Cette distinction est importante car elle affecte la manière dont les entreprises doivent se défendre.
Avec les générations précédentes de ransomware, le délai entre l’infection et l’activité malveillante exécutée par le logiciel cible était court et le chemin de l’attaque était assez prévisible, ce qui signifie que les contrôles de sécurité -qui s’appuient souvent sur une fonction de point d’accès- intervenaient directement sur le site de l’attaque ou que l’on découvrait assez rapidement l’existence d’un problème plus important.
Les groupes de ransomware modernes, quant à eux, ont tendance à se tapir dans les systèmes informatiques pendant beaucoup plus longtemps pour en extraire le plus de valeur possible, avant de faire connaître leur présence en chiffrant ou en détruisant des données. Il n’est pas rare d’attendre des jours ou des semaines avant de voir les programmes opérationnels en action, ce qui signifie que lorsqu’un problème est détecté, il est souvent déjà très tard pour agir.
De la prévention à la détection
Compte tenu de la stratégie actuelle en matière de ransomware, un système de protection moderne doit se concentrer sur la phase précédant la manifestation de la menace, depuis la détection des signaux de commande et de contrôle jusqu’à l’identification des informations d’identification mal utilisées ou abusées. C’est une course contre la montre pour trouver et expulser le ransomware avant qu’il n’exfiltre les données et ne déchire l’organisation.
Les contrôles préventifs sont essentiels, mais ils ne suffisent plus. En plus d’empêcher les auteurs de logiciels malveillants d’entrer, vous devez désormais disposer d’une visibilité totale sur vos environnements et intégrer des capacités de détection et de réponse avancées pour atténuer les menaces qui contournent déjà les contrôles existants.Avec une configuration adéquate, la technologie de détection et de réponse du réseau peut fournir une protection efficace contre les attaques de ransomware.