Les ransomwares constituent toujours de puissants poisons pour les organisations publiques et privées de tous bords. Si les moyens de défense mis en oeuvre par les entreprises se multiplient, les temps de découverte d'une infection par rançongiciel ont plutôt tendance à diminuer. Devant ce constat, les cyberattaquants redoublent d'efforts pour réduire la période entre l'accès initial à un système cible et le moment où le ransomware est activé dans les entrailles d'un SI visé. Une situation clairement identifiée par Secureworks dans son dernier rapport. Parmi les tendances saillantes, le fournisseur pointe ainsi que le temps d'attente - moment entre le piratage du réseau et l'exécution du ransomware - a considérablement diminué par rapport aux années précédentes.
« Dans un peu plus de 10 % des cas, le ransomware a été déployé dans les cinq heures suivant l'accès initial », indique Secureworks. « Près des deux tiers des attaques ont été menées en l'espace d'un seul jour, et près des quatre cinquièmes en l'espace d'une semaine. Dans environ un cinquième des attaques, l'acteur de la menace est resté sur le réseau pendant plus d'une semaine avant de déployer le ransomware. Les trois quarts d'entre eux ont continué à être présents sur le réseau pendant plus d'un mois ».
Des opérations de rançonnage moins complexes mais plus agiles
Dans son rapport, le fournisseur de solutions de sécurité pointe également que la durée médiane d'activation d'un ransomware est passée de 5,5 jours en 2020 à 4,5 jours en 2021 et à un peu moins de 24h en 2022. Les pirates savent que le temps est compté avant d'être sous le feu de la réponse à incidents des entreprises et agissent ainsi de plus en plus vite pour extraire un maximum de données, ou les plus pertinentes pour leurs affaires (revente, chantage...). Ils privilégient ainsi davantage des opérations plus simples, certes moins dévastatrices mais qu'ils leur demanderont beaucoup moins de temps.
« Les temps d'attente dans les missions où l'exfiltration de données a été observée étaient généralement plus longs, mais ce n'est pas toujours le cas », précise Secureworks. « Dans certains cas impliquant Black Basta, Hive et AvosLocker, tous des ransomwares à double extorsion, nous avons observé des exfiltrations de données et de déploiement de ransomwares plus rapidement que la durée médiane de 24 heures ». Secureworks avance par ailleurs que la détection des activités malveillantes s'est « indubitablement améliorée » contraignant ainsi les cybercriminels à agir plus rapidement, ce qui ne rend pas - loin de là - leurs méfaits moins néfastes. « L'introduction du modèle RaaS (ransomware as a service) a abaissé la barrière à l'entrée, en introduisant des playbooks à l'usage des affiliés, et a permis de faire évoluer le modèle de manière significative », explique également la société. « Cela représente une marchandisation du paysage des ransomwares où les opérateurs de systèmes réduisent le coût des opérations afin d'augmenter le volume [...] Cela ne signifie absolument pas que les ransomwares peuvent être ignorés comme une menace. Même une diffusion limitée sur le réseau d'une victime peut être très dommageable ».
Commentaire