L'augmentation des attaques de rançongiciels de double extorsion.

Une image de , Business, L'augmentation des attaques de rançongiciels de double extorsion.

Les attaques de rançongiciels de double extorsion sont en augmentation. Selon CipherTrac, ces types d'attaques ont augmenté de 500 % l'année dernière, les paiements aux groupes de rançongiciels atteignant 590 millions de dollars au cours des six premiers mois.

Ces attaques insidieuses utilisent le même concept qu'une attaque de ransomware mais en pire. Une fois que le pirate a accédé au réseau informatique de l'organisation, il infiltre les données et crypte le système. Ils considèrent cela comme leur propre politique de sauvegarde. Si, par exemple, une organisation dispose d'une bonne sauvegarde immuable et peut récupérer ses systèmes sans payer la rançon, alors les attaquants peuvent changer de tactique et menacer de divulguer publiquement toutes les données qu'ils ont déjà exfiltrées, ce qui pourrait entraîner des amendes et des poursuites de la part des clients. , s'ils ne reçoivent pas de paiement.

Cependant, même si la victime décide de payer pour récupérer sa clé de déchiffrement, les cybergangs peuvent toujours utiliser les données comme levier, menaçant de divulguer les informations en échange d'un deuxième paiement de rançon. Et certains criminels ne s'arrêtent pas là. Ils vendent ensuite les renseignements et les données qu'ils détiennent maintenant sur l'entreprise à d'autres cybergangs - une triple attaque de rançongiciel d'extorsion - augmentant les chances que l'entreprise soit à nouveau touchée et la totalité de la rançon.

cycle recommencer. Toutes les organisations qui ont payé sont également signalées comme une cible souple. Un peu comme une cote de solvabilité, les cybergangs évaluent les « bons payeurs ».

Le moindre de deux maux

Payer des rançons ne fait que perpétuer le cycle des cyberattaques. Si personne ne payait, alors il n'y aurait pas de fonds pour alimenter les gangs criminels.

Ce n'est pas si simple cependant lorsqu'une entreprise est confrontée au choix de répondre à la demande de rançon ou de faire face à la ruine. Les criminels connaissent la menace qu'ils représentent. Ils savent que souvent les organisations feront n'importe quoi pour se libérer de l'emprise de ces gangs afin qu'elles puissent être à nouveau opérationnelles – c'est un moindre des deux maux.

Cependant, la décision de se conformer aux criminels peut souvent être retirée des mains d'une organisation par les compagnies d'assurance. Ils deviennent soudainement des passagers arrière dans le processus de rançon. J'ai travaillé sur des cas où les équipes juridiques de l'organisation victime ont déclaré que si l'attaque est réputée provenir de Russie, alors payer serait une violation des sanctions britanniques.

Les entreprises ne doivent pas s'engager avec des acteurs de la menace tant qu'elles n'ont pas obtenu la clarté de leur compagnie d'assurance. Les polices peuvent stipuler de nombreuses choses, du montant maximum que les assureurs paieront à l'obligation pour les assureurs ou les souscripteurs d'effectuer une évaluation initiale avant de faire quoi que ce soit d'autre. Nous avons vu les dommages que ces attaques ont eu sur les entreprises par exemple, suite à une attaque majeure de ransomware près de huit mois sur le conseil municipal de Gloucester, le conseil est toujours en train de reconstruire son système informatique.

Après une attaque, la plupart des entreprises seront occupées à essayer de récupérer les données de leurs systèmes cryptés tout en s'efforçant d'identifier les fichiers ou les données qui ont ou non été supprimés. Il y a un risque que l'attaquant fasse simplement semblant d'avoir vos fichiers, mais dans la majorité des cas, il aura identifié les zones les plus sensibles et exfiltré les fichiers avant de les chiffrer.

Protégez-vous contre les rançongiciels de double extorsion

Malheureusement, en l'absence de systèmes de cyberdéfense adéquats, d'une gouvernance et d'un contrôle appropriés et d'une formation adéquate des employés en matière de cybersensibilisation, les attaques de rançongiciels par double extorsion sont un moyen facile pour les pirates de semer le plus de ravages possible. Il suffit qu'un utilisateur clique sur le lien ou tombe sous le coup d'un e-mail de phishing, et des vulnérabilités de réseau émergent constamment pour que les criminels puissent les pénétrer.

Selon le chef de la sécurité nationale des États-Unis, 80 % des cyberattaques pourraient être stoppées si l'authentification multifacteur (MFA) était activée et appliquée. Le programme de certification Cyber ​​​​Essentials exige également que les organisations aient une authentification à deux facteurs et MFA, que les réseaux soient corrigés tous les cycles de sept à 14 jours, et que les entreprises britanniques empêchent toute personne en dehors du Royaume-Uni d'accéder à leur réseau. En bloquant tous les non-UK IP adresses limite l'exposition de l'organisation aux attaques étrangères.

Cependant, rien n'est jamais sûr à 100 %. Une grande partie de la réduction des risques et de l'impact d'une attaque consiste à s'assurer que vous avez identifié les nombreuses façons dont un système peut être compromis et quel est le plan de réponse à l'incidence de votre entreprise en cas d'attaque.

De nombreuses grandes entreprises auront un plan en place, avec des étapes clés à mettre en œuvre en cas de violation, de la première étape des communications à la manière dont l'équipe interne peut travailler ensemble pour remédier à l'attaque le plus rapidement possible. Comment vont-ils récupérer, sauvegarder et chiffrer les données, par exemple ? La vitesse à laquelle vous pouvez réagir à une brèche sera essentielle pour minimiser les dégâts d'une attaque.

En cas de violation, assurez-vous de pouvoir accéder rapidement à une boîte de combat contenant toutes les informations commerciales critiques telles que ces plans de réponse aux incidents, les documents de cyber-assurance, les numéros de téléphone critiques, etc.

séparément du réseau de l'entreprise, comme sur Google ou un autre fournisseur, afin qu'il ne puisse pas être compromis. Il en va de même pour vous assurer que vous disposez d'un bon système de sauvegarde situé à l'écart du réseau principal de l'entreprise afin que les pirates ne puissent pas se déplacer latéralement sur vos systèmes. J'ai vu des incidents où des organisations ont dit aux attaquants qu'elles ne pouvaient pas se permettre de payer les demandes, par lesquelles les attaquants ont répondu en envoyant à l'organisation leur propre police d'assurance cyber, démontrant pourquoi les organisations devraient stocker ces données en externe.

Pour les entreprises qui ne veulent peut-être pas les coûts supplémentaires liés au stockage à distance de leur boîte de combat, l'alternative consiste à conserver une impression en toute sécurité dans un coffre-fort, mais cela signifie s'assurer de la maintenir à jour et de la réimprimer, ce qui peut facilement être oublié.

Les attaques de rançongiciels par double extorsion ne feront que devenir plus sophistiquées et courantes à mesure que les organisations seront au courant des bouffonneries des cybercriminels et de leurs demandes. La façon de les arrêter dans leur élan est d'être préparé et cela signifie les gens, les processus et la technologie.