Les acteurs de la menace ne se contentent pas de modifier leurs tactiques, ils affinent également leurs pratiques, ce qui oblige les entreprises à s'adapter pour gérer efficacement leurs risques.
Alors que les groupes de ransomware continuent d'évoluer, se concentrant sur la compromission des organisations et l'exposition des données sensibles, le rôle des déchiffreurs de ransomware a changé. Bien que les déchiffreurs puissent apporter une aide essentielle dans de rares cas, le fait de s'en remettre à eux comme solution de repli crée un faux sentiment de sécurité. Les responsables de la sécurité doivent reconnaître que ces outils ne sont qu'un dernier recours et que le fait de s'en remettre uniquement à eux peut avoir des conséquences désastreuses lorsqu'ils sont la cible d'acteurs de plus en plus sophistiqués.
Les déchiffreurs jouent toujours un rôle très important, mais les organisations doivent comprendre comment maximiser leur efficacité tout en restant vigilantes face à l'évolution des tactiques d'attaque des ransomwares.
Dans la tête des attaquants : Tactiques de ransomwares utilisées pour compromettre les organisations
Comme nous l'avons expliqué récemment, les groupes de ransomwares fonctionnent comme de petites entreprises, avec des rôles spécialisés contribuant à un système très efficace. Parmi ces rôles, les courtiers d'accès initiaux sont responsables de l'un des changements les plus importants dans la manière dont les ransomwares ciblent leurs victimes.
Les courtiers d'accès initial (Initial Access Brokers - IAB) font office d'experts en pénétration et sont responsables de la compromission d'une organisation. Ils agissent généralement en tant qu'intermédiaires, achetant l'accès à des pirates qualifiés et le vendant à des affiliés. Bien qu'ils puissent parfois améliorer l'accès pour obtenir un prix plus élevé, ils ne sont pas les experts techniques responsables des étapes les plus profondes de l'attaque.
Une fois l'accès vendu, les affiliés ou les experts en piratage exploitent souvent les vulnérabilités connues et commencent le processus de piratage manuel pour compromettre complètement la cible. Les analystes des menaces de Bitdefender ont constaté que les équipements de réseaux périphériques sont le plus souvent ciblés par des outils d'analyse automatisés. Ensuite, l'acteur de la menace s'intègre complètement dans l'organisation. Pour rendre l'attaque encore plus efficace, il implémentera une porte dérobée et établira la persistance, ou développera un moyen d'accéder à distance au réseau, ce qui lui permettra de revenir sur le réseau de l'organisation en cas de problème.
Pour échapper à la détection et renforcer leur accès, ils se déplacent latéralement dans l'infrastructure de l'entreprise et accumulent davantage de privilèges et d'autorisations, se préparant ainsi à lancer l'attaque. Le piratage manuel est l'étape la plus longue du cycle de vie d'une attaque par ransomware, mais elle prend tout de même plusieurs jours, et les entreprises doivent donc agir rapidement.
Le recours au piratage manuel, associé à des tactiques telles que la manipulation des sauvegardes et la préférence pour des négociations discrètes déguisées en exercices de test de pénétration, a étendu les attaques par ransomware au-delà des méthodes traditionnelles basées sur le chiffrement. Les acteurs de la menace exfiltrent et chiffrent des données sensibles et menacent de les divulguer ou de les exposer. Ils peuvent même menacer de révéler l'existence d'une violation ou d'une compromission si la rançon n'est pas payée, ce qui peut avoir ses propres conséquences en termes de réputation, de droit et de réglementation.
Ces doubles attaques d'extorsion sont de plus en plus courantes et sont devenues l'approche par défaut de nombreux groupes de ransomware. C'est pourquoi les déchiffreurs, même s'ils restent utiles, ne sont plus qu'un élément d'une stratégie plus large de lutte contre les ransomwares.
L'évolution du rôle des déchiffreurs dans la lutte contre les ransomwares
Dans le passé, les déchiffreurs étaient essentiels pour deux raisons principales :
1. Restaurer les fichiers chiffrés d'une victime : Les déchiffreurs ont permis de contrer directement les ransomwares qui chiffraient les données, en rétablissant l'accès d'une organisation à ses fichiers et en éliminant la nécessité de payer une rançon. Une fois qu'un déchiffreur a été mis au point, il ne peut être utilisé que contre une version spécifique du ransomware, ce qui limite son efficacité globale. Bien qu'utiles dans certains cas, les déchiffreurs n'apportent souvent qu'une solution partielle et ne sont pas universellement efficaces. 2. Déstabiliser l'économie des ransomwares : Les déchiffreurs ont d'abord été efficaces contre des souches spécifiques de ransomware, perturbant la capacité d'un groupe de ransomware à collecter des rançons et ayant un impact significatif sur leurs modèles de revenus. Cette situation a entraîné des conflits internes entre les affiliés et les opérateurs. Les affiliés, qui sont responsables de la livraison des charges utiles des ransomwares, accusent souvent les opérateurs d'être à l'origine de problèmes tels qu'une mauvaise sécurité opérationnelle (opsec) ou des bogues logiciels qui ont permis le développement de déchiffreurs. D'un autre côté, les opérateurs minimisent l'impact, arguant que toutes les victimes n'auraient pas payé la rançon de toute façon. Cette tension interne au sein des groupes de ransomware a contribué à un changement de tactique, bien que d'autres facteurs, tels que l'amélioration des défenses et les actions des forces de l'ordre, aient joué un rôle plus important dans l'adoption de stratégies plus résilientes.
Pour réduire l'efficacité des déchiffreurs, les groupes de ransomwares ont commencé à adopter des langages comme Go et Rust, qui rendent la rétro-ingénierie plus difficile. En outre, de nombreux acteurs de la menace ont eu accès à des fuites de codes de ransomwares matures, comme celui de Conti, ce qui a permis aux nouveaux groupes de commencer avec des codes plus avancés et plus résistants que par le passé. Les grands groupes de ransomwares ont commencé à utiliser ces méthodes, rendant presque impossible la mise au point de déchiffreurs, à moins que les forces de l'ordre ne parviennent à infiltrer un groupe pour voler des informations susceptibles de mener à la mise au point d'un déchiffreur.
Le passage à une double attaque d'extorsion était également un moyen de minimiser l'impact d'un déchiffreur.
Même si un déchiffreur était déployé avec succès, les groupes de ransomware pouvaient toujours menacer d'exposition et collecter leur rançon.
Si les déchiffreurs sont efficaces pour restaurer les fichiers chiffrés, ils sont utilisés après la compromission. Cela signifie qu'ils n'aident pas à prévenir ou à remédier à une attaque ou à une compromission, ce qui est essentiel étant donné l'ampleur de l'accès qu'un groupe de ransomware peut avoir grâce au piratage manuel. La vulnérabilité exploitée peut toujours être présente, et un courtier d'accès initial peut facilement attaquer à nouveau une organisation. L'année dernière, le FBI a publié une déclaration soulignant la tendance aux attaques répétées de ransomwares contre des organisations déjà compromises. Les déchiffreurs n'ont aucun rôle à jouer dans la prévention de ce type d'attaque.
Renforcez votre cyber-résilience : La dernière étape
Les déchiffreurs restent un outil précieux dans la lutte contre les ransomwares, et les organisations devraient toujours vérifier sur des plateformes comme No More Ransom si un déchiffreur est disponible pour une attaque en cours. Cependant, les déchiffreurs doivent être considérés comme une dernière ligne de défense, car ils sont plus efficaces lorsqu'ils sont utilisés en tandem avec des mesures proactives. Il est plus important pour les organisations d'élaborer un plan de cybersécurité plus complet et plus proactif contre les ransomwares. Si les déchiffreurs peuvent être un outil utile, ils ne doivent jamais être considérés comme une solution primaire. Les entreprises devraient plutôt se concentrer sur des investissements proactifs dans la remédiation et la détection active des menaces afin de réduire l'impact des attaques de ransomware.