Site icon Sophos News

Vulnérabilités non corrigées : le vecteur d’attaque de ransomware le plus agressif

ransomware

Pour déployer une attaque de ransomware, les adversaires doivent d’abord accéder à l’environnement, aux appareils et aux données de l’entreprise de la victime. Les acteurs malveillants utilisent généralement deux approches principales pour obtenir un accès : tout d’abord, ils tentent de se connecter en utilisant des identifiants compromis, c’est-à-dire des données d’accès légitimes qui ont été précédemment volées, et ensuite ils tentent d’exploiter des vulnérabilités présentes dans les applications et outils utilisés par l’entreprise. D’autres modes d’accès moins courants incluent les attaques par force brute, la compromission de la supply chain, les emails/documents malveillants et les adwares. Le phishing est largement présent dans les attaques de ransomware, mais il est principalement utilisé pour voler les identifiants utilisés ultérieurement afin de se connecter à l’entreprise ciblée.

Ce rapport souligne à quel point les conséquences d’une attaque de ransomware diffèrent en fonction de la cause première à l’origine de celle-ci. Il compare la gravité, le coût financier et l’impact opérationnel des attaques qui commencent par l’exploitation d’une vulnérabilité avec celles où les adversaires utilisent des identifiants compromis pour pénétrer au sein de l’entreprise. Il identifie également les secteurs industriels les plus ciblés et ceux qui le sont moins.

Les résultats sont basés sur une enquête indépendante et agnostique, commandée par Sophos, auprès de 2 974 professionnels IT/Cybersécurité travaillant dans des PME (100 à 5 000 employés) et dont les entreprises ont été touchées par un ransomware au cours de l’an dernier. L’étude a été menée par le cabinet d’études indépendant Vanson Bourne début 2024 et reflète les expériences des personnes interrogées au cours des 12 mois précédents.

Téléchargez la copie PDF du rapport

Résumé

Même si toutes les attaques de ransomware ont des conséquences négatives, celles qui commencent par l’exploitation de vulnérabilités non corrigées sont particulièrement brutales pour leurs victimes. Les entreprises touchées par des attaques qui ont commencé de cette manière signalent des conséquences considérablement plus graves que celles signalées lors d’attaques ayant commencé avec des identifiants compromis, notamment une plus forte propension à :

Ces entreprises ont également souligné que :

L’étude s’est concentrée exclusivement sur la corrélation et donc une exploration plus approfondie est nécessaire pour bien comprendre les raisons de tels résultats. Il est important de garder à l’esprit que toutes les attaques de ransomware ne se valent pas. Certaines sont lancées par des gangs sophistiqués et bien financés qui utilisent toute une gamme d’approches innovantes. En parallèle, l’utilisation de ransomwares rudimentaires et bon marché par des acteurs malveillants peu qualifiés est en augmentation. Il se peut que les adversaires capables d’exploiter des vulnérabilités logicielles non corrigées soient plus compétents que les attaquants qui achètent des identifiants volées sur le dark web (par exemple), et donc plus à même de réussir à compromettre les sauvegardes et à chiffrer les données.

Un tiers des attaques de ransomware commencent par l’exploitation d’une vulnérabilité non corrigée

32 % des attaques de ransomware subies par les personnes interrogées au cours de l’année écoulée ont commencé par l’exploitation d’une vulnérabilité. En approfondissant, nous constatons que le pourcentage d’attaques de ransomware qui ont commencé de cette manière varie considérablement selon le secteur :

Cette variation est probablement influencée, en partie, par les différentes solutions technologiques utilisées et les défis associés en matière de correctifs. Des secteurs tels que l’énergie, le pétrole/gaz et les services publics utilisent généralement une proportion plus élevée d’anciennes technologies plus sujettes aux failles de sécurité que de nombreux autres secteurs, et les correctifs peuvent ne pas être disponibles pour les solutions existantes et en fin de vie.

En parallèle, le plus souvent, des correctifs sont disponibles, mais ils n’ont tout simplement pas été installés. Parmi les attaques que les experts en réponse aux incidents de Sophos ont été amenés à traiter en 2022 et qui ont commencé avec l’exploitation de vulnérabilités, plus de la moitié (55 %) ont été causées par ProxyShell et Log4Shell, qui disposaient pourtant tous deux de correctifs existants au moment de la compromission. Sophos continue de constater que ProxyShell est exploité 30 mois après la sortie du correctif. Pour en savoir plus.

L’analyse a également révélé que la propension à subir une attaque basée sur un exploit varie selon la taille de l’entreprise :

À mesure que les entreprises se développent, leurs infrastructures informatiques ont tendance à évoluer avec elles. Plus l’environnement est vaste, plus il est difficile de comprendre la surface d’attaque et plus la quantité d’outils et de technologies à maintenir est importante.

L’impact des ransomwares est plus grave lorsque l’attaque commence par l’exploitation d’une vulnérabilité

L’objectif final d’un auteur de ransomware est de chiffrer les données d’une entreprise et d’obtenir le paiement d’une rançon en échange de la clé de déchiffrement. En cours de route, ils tentent presque toujours de compromettre les sauvegardes de leurs victimes afin de réduire leur capacité à restaurer les données sans payer.

L’analyse révèle qu’au niveau des trois points suivants : compromission des sauvegardes, chiffrement des données et paiement de la rançon, l’impact est plus grave lorsque l’attaque commence par l’exploitation d’une vulnérabilité.

Compromission des sauvegardes

Il n’y a aucune différence dans la propension des attaquants à tenter de compromettre les sauvegardes en fonction de la cause première. Les adversaires ont tenté de les compromettre dans 96 % des attaques qui ont commencé par l’exploitation de vulnérabilités et la compromission d’identifiants. Cependant, il existe une différence considérable dans leur taux de réussite :

Ce constat peut être dû au fait que les adversaires qui exploitent des vulnérabilités non corrigées soient plus compétents pour pirater les sauvegardes. Il peut également refléter le fait que les entreprises présentant une surface d’attaque exposée disposent d’une protection de leurs sauvegardes plus faible. Quelle qu’en soit la cause, la compromission de vos sauvegardes réduit votre résilience quand il s’agit de faire face au plein impact d’une attaque.

Chiffrement des données

Plus de 50 % des entreprises sont plus susceptibles de voir leurs données chiffrées lorsqu’une attaque commence par l’exploitation d’une vulnérabilité plutôt que par la compromission d’identifiants :

Comme pour la compromission des sauvegardes, la différence de résultat en fonction de la cause première peut refléter des niveaux de compétence différents au sein des groupes d’adversaires et aussi des différences dans la force globale des cyberdéfenses d’une entreprise.

Taux de paiement de la rançon

Étant donné le taux plus élevé de compromission des sauvegardes signalé lorsque l’attaque a commencé avec une vulnérabilité exploitée, il n’est peut-être pas surprenant que ce groupe ait signalé une plus grande propension à payer la rançon :

Sans sauvegardes permettant de restaurer les données, la pression exercée sur les victimes de ransomware pour accéder à la clé de déchiffrement augmente, incitant ainsi probablement les entreprises à collaborer avec les attaquants pour restaurer les données.

Les vulnérabilités non corrigées ont des conséquences critiques sur les activités de l’entreprise

Les attaques de ransomware qui commencent par l’exploitation d’une vulnérabilité ont un impact financier et opérationnel considérablement plus important que celles qui commencent par la compromission d’identifiants.

Paiement de la rançon

Bien que la cause première de l’attaque ait un impact presque négligeable sur le montant de la rançon, avec un montant médian de 1,988 millions de dollars (vulnérabilités exploitées) et 2 millions de dollars (identifiants compromis), elle a un impact considérable sur le financement de la rançon :

Les sociétés mères et les compagnies de cyberassurance sont plus susceptibles de contribuer à la rançon lorsque l’attaque démarre avec la compromission d’identifiants plutôt qu’avec une vulnérabilité exploitée.

En examinant plus largement la propension des compagnies d’assurance à répondre favorablement suite aux déclarations effectués par leurs clients, nous constatons qu’un quart (25 %) des déclarations refusées par les entreprises qui ont fait face à l’exploitation d’une vulnérabilité étaient dues au fait qu’elles ne disposaient pas des cyberdéfenses requises pour que la déclaration faite soit honorée, contre 12% des déclarations faites suite à des attaques au cours desquelles des adversaires ont utilisé la compromission d’identifiants.

Coût de récupération

La rançon n’est qu’un élément parmi d’autres qui contribue au coût global de récupération suite à une attaque de ransomware. En laissant de côté le paiement des rançons, le coût de récupération global médian pour les attaques de ransomware qui ont commencé par une vulnérabilité exploitée (3 millions de dollars) est quatre fois plus élevé que celui constaté suite à des attaques ayant commencé par la compromission d’identifiants (750 000 $).

Temps de récupération

La récupération après une attaque qui a commencé par une vulnérabilité exploitée est généralement beaucoup plus lente que lorsque la cause première est la compromission d’identifiants.

Ce résultat reflète probablement les différentes activités en matière de remédiation que les victimes doivent entreprendre en fonction de la cause première et de leurs frais généraux opérationnels respectifs. Installer des correctifs sur un système ou bien mettre à niveau un produit en fin de vie vers une version prise en charge peut prendre plus de temps que de réinitialiser les identifiants. Ce constat peut également être dû aux dommages plus importants causés par les attaques via des vulnérabilité exploitées, notamment une plus grande probabilité de compromission des sauvegardes et de chiffrement des données.

Recommandations

L’installation de correctifs constitue une première étape essentielle pour réduire le risque d’être victime d’une attaque de ransomware (ou de toute autre violation) qui commence par une vulnérabilité exploitée. Si vous corrigez la faille de sécurité, les adversaires ne pourront pas l’exploiter. Idéalement, cela devrait faire partie d’une stratégie plus large en matière de gestion des risques et de prévention des exploits :

Réduisez votre surface d’attaque

Déploiement de protections anti-exploit

Détecter et répondre aux activités suspectes

Comment Sophos peut vous aider ?

Sophos Managed Risk

Sophos Managed Risk est un service de gestion des vulnérabilités et des surfaces d’attaque, optimisé par la technologie Tenable, leader du secteur, et fourni par une équipe dédiée d’experts Sophos spécialisée en exposition aux menaces et en mesures correctives. Il répond à quatre cas d’usage critiques : visibilité de la surface d’attaque, surveillance continue des risques, priorisation des vulnérabilités et identification rapide des nouveaux risques.

Sophos Managed Risk est disponible avec Sophos MDR, un service de cybersécurité entièrement managé et fourni 24h/24 et 7j/7 par les experts en menaces de Sophos. Une équipe dédiée d’opérateurs Sophos Managed Risk, hautement qualifiés en vulnérabilités et exposition aux menaces, travaille en étroite collaboration avec les analystes Sophos MDR 24h/24.

Sophos Endpoint

Sophos Endpoint comprend plus de 60 fonctionnalités anti-exploitation qui bloquent les comportements utilisés par les adversaires pour exploiter une vulnérabilité non corrigée, bloquant ainsi les vulnérabilités connues et les menaces Zero-Day. Les fonctionnalités anti-exploit se déploient automatiquement dès le premier jour, sans configuration ni besoin de réglage particulier.

Sophos Endpoint adopte une approche globale en matière de protection sans s’appuyer uniquement sur une seule technique de sécurité. Les contrôles du Web, des applications et des périphériques réduisent votre surface d’attaque et bloquent les vecteurs d’attaque courants. L’IA, l’analyse comportementale, les technologies anti-ransomware ainsi que d’autres technologies de pointe, bloquent rapidement les menaces avant qu’elles ne prennent de l’ampleur.

Téléchargez la copie PDF du rapport

Billet inspiré de Unpatched Vulnerabilities: The Most Brutal Ransomware Attack Vector, sur le Blog Sophos.

Exit mobile version