Pour déployer une attaque de ransomware, les adversaires doivent d’abord accéder à l’environnement, aux appareils et aux données de l’entreprise de la victime. Les acteurs malveillants utilisent généralement deux approches principales pour obtenir un accès : tout d’abord, ils tentent de se connecter en utilisant des identifiants compromis, c’est-à-dire des données d’accès légitimes qui ont été précédemment volées, et ensuite ils tentent d’exploiter des vulnérabilités présentes dans les applications et outils utilisés par l’entreprise. D’autres modes d’accès moins courants incluent les attaques par force brute, la compromission de la supply chain, les emails/documents malveillants et les adwares. Le phishing est largement présent dans les attaques de ransomware, mais il est principalement utilisé pour voler les identifiants utilisés ultérieurement afin de se connecter à l’entreprise ciblée.
Ce rapport souligne à quel point les conséquences d’une attaque de ransomware diffèrent en fonction de
Les résultats sont basés sur une enquête indépendante et agnostique, commandée par Sophos, auprès de 2 974 professionnels IT/Cybersécurité travaillant dans des PME (100 à 5 000 employés) et dont les entreprises ont été touchées par un ransomware au cours de l’an dernier. L’étude a été menée par le cabinet d’études indépendant Vanson Bourne début 2024 et reflète les expériences des personnes interrogées au cours des 12 mois précédents.
Téléchargez la copie PDF du rapport
Résumé
Même si toutes les attaques de ransomware ont des conséquences négatives, celles qui commencent par l’exploitation de vulnérabilités non corrigées sont particulièrement brutales pour leurs victimes. Les entreprises touchées par des attaques qui ont commencé de cette manière signalent des conséquences considérablement plus graves que celles signalées lors d’attaques ayant commencé avec des identifiants compromis, notamment une plus forte propension à :
- Avoir des sauvegardes compromises (taux de réussite de 75 % contre 54 % pour les identifiants compromis).
- Avoir les données chiffrées (taux de chiffrement de 67 % contre 43 % pour les identifiants compromis).
- Payer la rançon (taux de paiement de 71 % contre 45 % pour les identifiants compromis).
- Financer l’intégralité du coût de la rançon en interne (31 % ont financé la totalité de la rançon en interne contre 2 % pour les identifiants compromis).
Ces entreprises ont également souligné que :
- Les coûts globaux de récupération après attaque étaient 4 fois plus élevés (3 millions de dollars contre 750 000 dollars pour les identifiants compromis).
- Le temps de récupération était plus lent (45 % ont mis plus d’un mois pour récupérer contre 37 % pour les identifiants compromis).
L’étude s’est concentrée exclusivement sur la corrélation et donc une exploration plus approfondie est nécessaire pour bien comprendre les raisons de tels résultats. Il est important de garder à l’esprit que toutes les attaques de ransomware ne se valent pas. Certaines sont lancées par des gangs sophistiqués et bien financés qui utilisent toute une gamme d’approches innovantes. En parallèle, l’utilisation de ransomwares rudimentaires et bon marché par des acteurs malveillants peu qualifiés est en augmentation. Il se peut que les adversaires capables d’exploiter des vulnérabilités logicielles non corrigées soient plus compétents que les attaquants qui achètent des identifiants volées sur le dark web (par exemple), et donc plus à même de réussir à compromettre les sauvegardes et à chiffrer les données.
Un tiers des attaques de ransomware commencent par l’exploitation d’une vulnérabilité non corrigée
32 % des attaques de ransomware subies par les personnes interrogées au cours de l’année écoulée ont commencé par l’exploitation d’une vulnérabilité. En approfondissant, nous constatons que le pourcentage d’attaques de ransomware qui ont commencé de cette manière varie considérablement selon le secteur :
- Les secteurs affichant les pourcentages les plus élevés : énergie, pétrole/gaz et services publics avec 49 % des attaques.
- Les secteurs affichant les pourcentages les plus bas : construction et secteur immobilier avec 21% des attaques.
Cette variation est probablement influencée, en partie, par les différentes solutions technologiques utilisées et les défis associés en matière de correctifs. Des secteurs tels que l’énergie, le pétrole/gaz et les services publics utilisent généralement une proportion plus élevée d’anciennes technologies plus sujettes aux failles de sécurité que de nombreux autres secteurs, et les correctifs peuvent ne pas être disponibles pour les solutions existantes et en fin de vie.
En parallèle, le plus souvent, des correctifs sont disponibles, mais ils n’ont tout simplement pas été installés. Parmi les attaques que les experts en réponse aux incidents de Sophos ont été amenés à traiter en 2022 et qui ont commencé avec l’exploitation de vulnérabilités, plus de la moitié (55 %) ont été causées par ProxyShell et Log4Shell, qui disposaient pourtant tous deux de correctifs existants au moment de la compromission. Sophos continue de constater que ProxyShell est exploité 30 mois après la sortie du correctif. Pour en savoir plus.
L’analyse a également révélé que la propension à subir une attaque basée sur un exploit varie selon la taille de l’entreprise :
- 26 % des attaques de ransomware dans les petites entreprises (chiffre d’affaires inférieur à 50 millions de dollars).
- 30 % des attaques de ransomware dans les entreprises de taille moyenne (50 millions de dollars à 1 milliard de dollars).
- 37 % des attaques de ransomware dans les grandes entreprises (1 milliard de dollars et plus).
À mesure que les entreprises se développent, leurs infrastructures informatiques ont tendance à évoluer avec elles. Plus l’environnement est vaste, plus il est difficile de comprendre la surface d’attaque et plus la quantité d’outils et de technologies à maintenir est importante.
L’impact des ransomwares est plus grave lorsque l’attaque commence par l’exploitation d’une vulnérabilité
L’objectif final d’un auteur de ransomware est de chiffrer les données d’une entreprise et d’obtenir le paiement d’une rançon en échange de la clé de déchiffrement. En cours de route, ils tentent presque toujours de compromettre les sauvegardes de leurs victimes afin de réduire leur capacité à restaurer les données sans payer.
L’analyse révèle qu’au niveau des trois points suivants : compromission des sauvegardes, chiffrement des données et paiement de la rançon, l’impact est plus grave lorsque l’attaque commence par l’exploitation d’une vulnérabilité.
Compromission des sauvegardes
Il n’y a aucune différence dans la propension des attaquants à tenter de compromettre les sauvegardes en fonction de la cause première. Les adversaires ont tenté de les compromettre dans 96 % des attaques qui ont commencé par l’exploitation de vulnérabilités et la compromission d’identifiants. Cependant, il existe une différence considérable dans leur taux de réussite :
- 75 % des tentatives ont réussi lorsque l’attaque a commencé avec une vulnérabilité exploitée.
- 54 % des tentatives ont réussi lorsque l’attaque a commencé avec des identifiants compromis.
Ce constat peut être dû au fait que les adversaires qui exploitent des vulnérabilités non corrigées soient plus compétents pour pirater les sauvegardes. Il peut également refléter le fait que les entreprises présentant une surface d’attaque exposée disposent d’une protection de leurs sauvegardes plus faible. Quelle qu’en soit la cause, la compromission de vos sauvegardes réduit votre résilience quand il s’agit de faire face au plein impact d’une attaque.
Chiffrement des données
Plus de 50 % des entreprises sont plus susceptibles de voir leurs données chiffrées lorsqu’une attaque commence par l’exploitation d’une vulnérabilité plutôt que par la compromission d’identifiants :
- 67 % des attaques ont abouti au chiffrement des données lorsqu’elles ont commencé par une vulnérabilité exploitée.
- 43 % des attaques ont abouti au chiffrement des données lorsqu’elles ont commencé avec la compromission d’identifiants.
Comme pour la compromission des sauvegardes, la différence de résultat en fonction de la cause première peut refléter des niveaux de compétence différents au sein des groupes d’adversaires et aussi des différences dans la force globale des cyberdéfenses d’une entreprise.
Taux de paiement de la rançon
Étant donné le taux plus élevé de compromission des sauvegardes signalé lorsque l’attaque a commencé avec une vulnérabilité exploitée, il n’est peut-être pas surprenant que ce groupe ait signalé une plus grande propension à payer la rançon :
- 71 % des entreprises dont les données étaient chiffrées ont payé la rançon lorsque l’attaque a commencé avec une vulnérabilité exploitée.
- 45% des entreprises dont les données ont été chiffrées ont payé la rançon lorsque l’attaque a commencé avec la compromission d’identifiants.
Sans sauvegardes permettant de restaurer les données, la pression exercée sur les victimes de ransomware pour accéder à la clé de déchiffrement augmente, incitant ainsi probablement les entreprises à collaborer avec les attaquants pour restaurer les données.
Les vulnérabilités non corrigées ont des conséquences critiques sur les activités de l’entreprise
Les attaques de ransomware qui commencent par l’exploitation d’une vulnérabilité ont un impact financier et opérationnel considérablement plus important que celles qui commencent par la compromission d’identifiants.
Paiement de la rançon
Bien que la cause première de l’attaque ait un impact presque négligeable sur le montant de la rançon, avec un montant médian de 1,988 millions de dollars (vulnérabilités exploitées) et 2 millions de dollars (identifiants compromis), elle a un impact considérable sur le financement de la rançon :
- 31 % des entreprises ont financé la totalité de la rançon en interne lorsque l’attaque a commencé avec une vulnérabilité exploitée.
- 2 % des entreprises ont financé la totalité de la rançon en interne lorsque l’attaque a commencé avec la compromission d’identifiants.
Les sociétés mères et les compagnies de cyberassurance sont plus susceptibles de contribuer à la rançon lorsque l’attaque démarre avec la compromission d’identifiants plutôt qu’avec une vulnérabilité exploitée.
En examinant plus largement la propension des compagnies d’assurance à répondre favorablement suite aux déclarations effectués par leurs clients, nous constatons qu’un quart (25 %) des déclarations refusées par les entreprises qui ont fait face à l’exploitation d’une vulnérabilité étaient dues au fait qu’elles ne disposaient pas des cyberdéfenses requises pour que la déclaration faite soit honorée, contre 12% des déclarations faites suite à des attaques au cours desquelles des adversaires ont utilisé la compromission d’identifiants.
Coût de récupération
La rançon n’est qu’un élément parmi d’autres qui contribue au coût global de récupération suite à une attaque de ransomware. En laissant de côté le paiement des rançons, le coût de récupération global médian pour les attaques de ransomware qui ont commencé par une vulnérabilité exploitée (3 millions de dollars) est quatre fois plus élevé que celui constaté suite à des attaques ayant commencé par la compromission d’identifiants (750 000 $).
Temps de récupération
La récupération après une attaque qui a commencé par une vulnérabilité exploitée est généralement beaucoup plus lente que lorsque la cause première est la compromission d’identifiants.
- 45 % ont mis plus d’un mois à se rétablir lorsque l’attaque a commencé avec une vulnérabilité exploitée.
- 37 % ont mis plus d’un mois à récupérer suite à l’attaque lorsque celle-ci a commencé avec la compromission d’identifiants.
Ce résultat reflète probablement les différentes activités en matière de remédiation que les victimes doivent entreprendre en fonction de la cause première et de leurs frais généraux opérationnels respectifs. Installer des correctifs sur un système ou bien mettre à niveau un produit en fin de vie vers une version prise en charge peut prendre plus de temps que de réinitialiser les identifiants. Ce constat peut également être dû aux dommages plus importants causés par les attaques via des vulnérabilité exploitées, notamment une plus grande probabilité de compromission des sauvegardes et de chiffrement des données.
Recommandations
L’installation de correctifs constitue une première étape essentielle pour réduire le risque d’être victime d’une attaque de ransomware (ou de toute autre violation) qui commence par une vulnérabilité exploitée. Si vous corrigez la faille de sécurité, les adversaires ne pourront pas l’exploiter. Idéalement, cela devrait faire partie d’une stratégie plus large en matière de gestion des risques et de prévention des exploits :
Réduisez votre surface d’attaque
- Maintenez une visibilité totale sur tous vos actifs externes pour savoir à quoi/qui vous avez affaire et éviter les angles morts.
- Installez des correctifs en utilisant une priorisation basée sur les risques. Avec de nouveaux exploits découverts de plus en plus rapidement surclassant ainsi la capacité des entreprises à les corriger, concentrez vos efforts là où ils auront le plus d’impact. Une telle approche signifie identifier et prioriser la correction des expositions à haut risque.
- Installez régulièrement les mises à jour. L’utilisation de la dernière version d’une application ou d’un outil vous garantit de bénéficier des correctifs de sécurité les plus récents publiés par les éditeurs.
Déploiement de protections anti-exploit
- Alors que le nombre de vulnérabilités exploitables continue de croître rapidement, les attaquants ne peuvent exploiter qu’un nombre limité de techniques. Les capacités anti-exploitation intégrées aux solutions de sécurité endpoint stoppent les comportements utilisés dans ces attaques, notamment les vulnérabilités Zero-Day pour lesquelles aucun correctif n’a encore été publié.
Détecter et répondre aux activités suspectes
- La technologie seule ne peut pas bloquer toutes les attaques. Les adversaires savent exploiter les outils informatiques légitimes et les identifiants volés, adaptant leur approche en temps réel pour éviter d’être détectés. Bloquer des attaques et des violations avancées utilisant des ransomwares et pilotées par des opérateurs humains nécessite une détection et une réponse 24h/24 et 7j/7 dans votre environnement, assurées par un fournisseur spécialisé ou une équipe interne hautement qualifiée.
Comment Sophos peut vous aider ?
Sophos Managed Risk
Sophos Managed Risk est un service de gestion des vulnérabilités et des surfaces d’attaque, optimisé par la technologie Tenable, leader du secteur, et fourni par une équipe dédiée d’experts Sophos spécialisée en exposition aux menaces et en mesures correctives. Il répond à quatre cas d’usage critiques : visibilité de la surface d’attaque, surveillance continue des risques, priorisation des vulnérabilités et identification rapide des nouveaux risques.
Sophos Managed Risk est disponible avec Sophos MDR, un service de cybersécurité entièrement managé et fourni 24h/24 et 7j/7 par les experts en menaces de Sophos. Une équipe dédiée d’opérateurs Sophos Managed Risk, hautement qualifiés en vulnérabilités et exposition aux menaces, travaille en étroite collaboration avec les analystes Sophos MDR 24h/24.
Sophos Endpoint
Sophos Endpoint comprend plus de 60 fonctionnalités anti-exploitation qui bloquent les comportements utilisés par les adversaires pour exploiter une vulnérabilité non corrigée, bloquant ainsi les vulnérabilités connues et les menaces Zero-Day. Les fonctionnalités anti-exploit se déploient automatiquement dès le premier jour, sans configuration ni besoin de réglage particulier.
Sophos Endpoint adopte une approche globale en matière de protection sans s’appuyer uniquement sur une seule technique de sécurité. Les contrôles du Web, des applications et des périphériques réduisent votre surface d’attaque et bloquent les vecteurs d’attaque courants. L’IA, l’analyse comportementale, les technologies anti-ransomware ainsi que d’autres technologies de pointe, bloquent rapidement les menaces avant qu’elles ne prennent de l’ampleur.
Téléchargez la copie PDF du rapport
Billet inspiré de Unpatched Vulnerabilities: The Most Brutal Ransomware Attack Vector, sur le Blog Sophos.