Depuis l’an dernier, les attaques reposant sur des ransomwares se multiplient dans le monde. Bien que le nombre d’offensives ait baissé au niveau mondial, la France « a enregistré le taux le plus élevé d’attaques par ransomware », indique Sophos. En effet, 74 % des entreprises françaises interrogées ont été visées par des cybercriminels spécialisés dans l’extorsion et le vol de données.
À lire aussi : une rançon record a été collectée par des cybercriminels en 2024
Le VPN, point d’entrée favori des ransomwares
Selon une étude réalisée par Corvus Insurance, une grande partie de ces cyberattaques reposent en fait sur des comptes VPN vulnérables. Mal protégés, ces comptes ont servi de point d’entrée pour les cybercriminels. Les résultats de l’étude montrent en effet que 28,7 % des attaques découlent directement d’un accès non autorisé à un VPN.
Corvus Insurance précise que la quantité d’opérations d’extorsion reposant sur un VPN a explosé d’un trimestre à l’autre. Pour rappel, les VPN servent à sécuriser les connexions à distance au réseau interne de l’entreprise. Comme l’explique Jason Rebholz de Corvus Insurance, « les attaquants se concentrent sur la recherche du chemin le moins protégé dans une entreprise pour lancer une attaque, et au troisième trimestre, ce point d’entrée était le VPN ».
Pour mémoire, les cybercriminels se sont d’ailleurs servis d’un compte VPN compromis lors de la célèbre cyberattaque du gestionnaire d’oléoduc Colonial Pipeline. En 2021, le gestionnaire américain avait été obligé de suspendre toutes ses activités à la suite d’une infection par ransomware. L’enquête des chercheurs de Mandiant a vite démontré que les pirates ont utilisé le compte VPN d’entreprise d’un des employés afin de pénétrer dans le réseau de Colonial Pipeline. L’offensive a bien failli priver toute la côte est Américaine de gasoil et d’essence.
Des identifiants trop faciles à pirater
Trop souvent, les comptes VPN sont sécurisés avec des identifiants faibles et des mots de passe déjà compromis, ou trop faciles à deviner. L’étude épingle « les noms d’utilisateur courants comme “admin” ou “utilisateur”», qui facilitent énormément le travail des pirates. Combinés à des mots de passe trop simples, volés ou recyclés, ces noms ouvrent la porte aux intrus…
Alors que les fuites de données s’enchaînent dans le monde entier, et plus particulièrement en France, les hackers disposent d’assez d’informations pour mener leurs activités sans embuches. Sur des marchés noirs, les pirates peuvent dénicher une montagne de répertoire de données, y compris des paires d’identifiants et de mots de passe. Si ceux-ci permettent aussi de sécuriser un compte VPN d’entreprise, ils peuvent orchestrer leur attaque par ransomware. C’est pourquoi il ne faut pas recycler vos mots de passe.
« Les attaquants exploitent les systèmes accessibles au public en testant des combinaisons de ces informations d’identification faibles, obtenant souvent un accès au réseau avec un minimum d’effort », ajoute l’étude.
Corvus Insurance pointe également du doigt l’absence d’authentification deux facteurs. Ce mécanisme de sécurité, trop souvent négligé, peut permettre de bloquer l’accès à un pirate qui aurait mis la main sur vos identifiants. Pourtant, 75 % des victimes de ransomware déclarent avoir omis de configurer l’authentification multifactorielle, qui reste « un filet de sécurité crucial » contre les attaques.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Corvus Insurance
