Il ne s'agit pas d'un simple scénario hypothétique. Les ransomwares sont passés d'une simple tactique de chiffrement à des systèmes sophistiqués de double extorsion, souvent pilotés par des ransomwares en tant que service (RaaS), et les entreprises s'empressent d'adopter des défenses plus efficaces. Les attaquants d'aujourd'hui exploitent les vulnérabilités des périphériques de réseau critiques, qu'ils utilisent pour s'infiltrer profondément dans les réseaux d'entreprise et s'y implanter durablement.

Pour comprendre comment les organisations peuvent se défendre, il est essentiel d'explorer les tactiques utilisées par ces groupes de ransomware pour infiltrer les réseaux, ainsi que les mesures que les entreprises doivent prendre pour combler ces dangereuses lacunes.

Comment les groupes RaaS exploitent les vulnérabilités

Les groupes de ransomware ont changé de tactique et prennent désormais beaucoup plus de temps pour compromettre profondément une organisation avant de déployer leur ransomware. Cela rend les approches malveillantes telles que la double extorsion beaucoup plus efficaces et leur permet d'attaquer à nouveau la même victime, augmentant ainsi les chances d'obtenir une rançon.

Pour maximiser leurs chances de réussite, ils commencent par exploiter une vulnérabilité connue qui leur permet de s'intégrer dans une organisation et même de revenir par une porte dérobée ou un accès à distance au cas où ils seraient découverts. Une fois à l'intérieur, ils peuvent déployer le ransomware, verrouiller les actifs sensibles et menacer de les exposer.

Les groupes de ransomware ont rationalisé le processus d'exploitation des vulnérabilités, exploitant souvent les vulnérabilités nouvellement divulguées en moins de 24 heures. Cela leur donne un avantage significatif sur les organisations, puisque CISA rapporte que 50 % des vulnérabilités ne sont pas corrigées après 55 jours, et que 85 % ne sont toujours pas corrigées après 30 jours. Par exemple, dans notre récente étude CACTUS, nous avons constaté qu'un système non corrigé a été compromis 70 fois en seulement un mois après l'annonce de la vulnérabilité.

Cette tendance a commencé avec la vulnérabilité Log4J et se produit souvent avec les vulnérabilités de type « zero-day ». L'enquête CACTUS de Bitdefender a révélé qu'un système non corrigé a été compromis 70 fois différentes dans le mois qui a suivi la divulgation de la vulnérabilité. Cela montre la rapidité avec laquelle les attaquants exploitent les vulnérabilités nouvellement annoncées.

Quels sont les risques (et qui en sont les victimes) ?

Le paysage des attaques par ransomware s'est considérablement modifié. Ces attaques ne se concentrent plus sur des secteurs spécifiques ou des cibles de grande valeur. Aujourd'hui, les groupes de ransomwares ratissent plus large, recherchant les vulnérabilités partout où ils peuvent les trouver. Toute organisation dont les systèmes n'ont pas été corrigés est une proie facile. L'une des cibles privilégiées ? Les équipements de réseau périphérique, composants clés de nombreuses infrastructures qui, comme l'a observé Bitdefender, sont de plus en plus dans la ligne de mire des acteurs de la menace.

Les dispositifs de réseau périphérique comprennent les routeurs, les dispositifs de réseau étendu, les dispositifs d'accès intégrés, les pare-feu, les serveurs VPN et tout ce qui sert de pont entre deux réseaux ou est orienté vers l'internet. Les analystes de Bitdefender ont constaté que les dispositifs liés au stockage et à l'accès à distance sont les plus ciblés car ils permettent à un pirate de mieux s'implanter au sein d'une organisation.

Les groupes criminels spécialisés dans les ransomwares peuvent trouver et exploiter ces vulnérabilités grâce à des outils d'analyse automatisés tels que Shodan. Ces outils parcourent l'internet et recherchent des appareils dont les vulnérabilités connues ne sont pas corrigées.

Les acteurs de la menace collaborent souvent avec des courtiers d'accès initial (IAB), spécialisés dans l'achat et la vente d'accès à des organisations compromises. Les IAB peuvent utiliser des techniques telles que l'ingénierie sociale ou la pulvérisation de mots de passe pour obtenir l'accès initial, mais une fois vendu, les acteurs de la menace sophistiqués peuvent alors exploiter les vulnérabilités pour compromettre rapidement un grand nombre de réseaux. Cette approche leur permet de traiter les victimes une par une, plutôt que de devoir constamment recourir à l'ingénierie sociale pour accéder à de nouvelles cibles.

Cependant, de nombreux acteurs moins qualifiés continuent de s'appuyer sur des techniques d'ingénierie sociale, car ils n'ont pas l'expertise nécessaire pour utiliser des méthodes plus avancées. Attendre la divulgation d'une vulnérabilité est beaucoup plus facile et plus simple, car la preuve de concept leur donne suffisamment d'informations pour développer un exploit.

Comment la gestion des correctifs (Patch Management) peut-elle contribuer à éviter les attaques de ransomware ?

L'un des moyens les plus efficaces de lutter contre les attaques de ransomware dès le début de l'attaque est d'avoir une stratégie de gestion des correctifs complète. Ne pas utiliser ces périphériques de réseau n'est pas vraiment une option, mais comme les groupes de ransomwares utilisent des outils automatisés, vous pouvez éviter d'être détecté en ayant des périphériques patchés. Les groupes de ransomwares sont toujours à la recherche de solutions faciles à mettre en œuvre. En disposant de systèmes patchés, ils peuvent vous ignorer et passer à une organisation moins sûre.

Compte tenu de l'empreinte numérique d'une organisation donnée, il est probable que de nombreux systèmes et actifs nécessitent une gestion continue des correctifs. Il est donc important de disposer d'un système de hiérarchisation pour maximiser vos efforts. Nous recommandons de prendre en compte les quatre facteurs suivants pour déterminer les vulnérabilités à corriger en priorité :

  1. Criticité : Elle est basée sur un score CVSS élevé, qui peut être obtenu sur le site org, qui contient une liste des vulnérabilités critiques connues.
  2. Exposée : La vulnérabilité est-elle exposée et activement exploitée ? Si c'est le cas, il s'agit d'une vulnérabilité hautement prioritaire. Ces vulnérabilités peuvent être trouvées à l'aide de la liste des vulnérabilités connues et exploitées de la CISA et devraient constituer la première liste à suivre.
  3. Populaire : La vulnérabilité est-elle populaire et souvent exploitée ? Cela peut être trouvé dans le cadre de votre veille sur les menaces et en travaillant avec d'autres équipes de sécurité pour comprendre les cibles communes que les groupes de ransomware visent. La vulnérabilité est-elle largement exploitée ? La collaboration avec d'autres équipes de sécurité peut également aider à identifier ces vulnérabilités prioritaires. L'équipe CTI de Bitdefender surveille activement ces menaces et alerte les clients lorsqu'il y a un risque d'impact dû à l'exploitation de ces vulnérabilités par des groupes de ransomwares.
  4. Attaque RCE : C'est l'un des principaux objectifs des courtiers d'accès initiaux, car il permet aux affiliés d'établir des portes dérobées, d'obtenir un accès à distance et de maintenir la persistance au sein de l'organisation. Le ransomware est généralement déployé ultérieurement par les affiliés.

Une gestion efficace des correctifs doit également être envisagée du point de vue de la gestion des risques. Alors que les systèmes basés sur l'informatique en nuage sont plus faciles à corriger et le sont souvent automatiquement, les appareils sur site (qui sont souvent les plus exposés) nécessitent une approche plus manuelle, ce qui accroît le délai entre la publication d'un correctif et l'application d'un correctif. Cependant, les processus de gestion des correctifs sur site sont souvent axés sur le risque de continuité des activités, et non sur le risque de cybersécurité.

Des approches trop prudentes de la gestion des vulnérabilités peuvent laisser les organisations exposées trop longtemps, car les correctifs sont souvent retardés pour éviter des perturbations potentielles. Malheureusement, de nombreuses bonnes pratiques ont été établies avant que la militarisation rapide des vulnérabilités ne devienne une réalité fréquente. Nous recommandons plutôt d'aligner votre stratégie de gestion des correctifs sur les calendriers de publication des logiciels et d'adopter des politiques qui supposent que les attaquants ciblent activement vos systèmes. Privilégiez la rapidité et l'agilité pour éviter de devenir une victime, en vous assurant de garder une longueur d'avance sur les groupes de ransomware plutôt que d'être dans leur ligne de mire.

Une meilleure résilience peut être obtenue grâce à des solutions de détection et de réponse (EDR) et de détection et de réponse étendue (XDR), qui sont conçues pour détecter les affiliés ou les utilisateurs non autorisés qui exploitent des vulnérabilités connues. En identifiant les menaces à un stade précoce, ces outils peuvent contribuer à empêcher les attaques de ransomware d'atteindre des stades plus préjudiciables ou à en limiter considérablement l'impact.

Gardez une longueur d'avance sur l'évolution des menaces liées aux ransomwares en explorant deux ressources clés. Notre dernier eBook, « L’économie parallèle derrière les Ransomwares », offre un aperçu complet de l'économie du ransomware et de ses opérations, idéal pour comprendre le contexte plus large de ces attaques. Pour des informations plus techniques, notre livre blanc sur les ransomwares, régulièrement mis à jour, détaille les dernières tactiques et tendances, et montre comment les solutions Bitdefender s'adaptent à chaque phase d'une attaque par ransomware. Ensemble, ces ressources fournissent les connaissances et les outils nécessaires pour prévenir, détecter et répondre aux menaces en toute confiance.