On définit généralement le ransomware comme un logiciel malveillant qui chiffre les données d’un ordinateur. Une fois les données chiffrées, le virus va transmettre une demande de rançon à la victime. Celle-ci va devoir verser de l’argent pour obtenir la clé de déchiffrement qui va lui permettre de récupérer l’accès à ses données. Sans cette clé, la cible ne peut pas consulter ses fichiers. Vous l’aurez compris : le chiffrement des données a toujours été la pierre angulaire des cyberattaques par ransomware.
Avec le temps, les cybercriminels ont pris l’habitude de dérober les données avant de les chiffrer. Cette tactique s’intitule la double extorsion. Pour pousser les victimes à verser la rançon, les pirates récupèrent les données et menacent de les publier sur la toile. Redoutant que leurs informations se retrouvent entre les mains d’autres escrocs, les entreprises sont plus enclines à se plier aux requêtes de leurs assaillants. Les pirates disposent ainsi d’un moyen de pression si leurs cibles ont pris la peine de faire une sauvegarde de leurs données. La plupart des gans s’y sont mis, dont HellCat, Lockbit, Clop ou encore BlackCat.
À lire aussi : L’envers des cyberattaques – une fuite dévoile les messages privés des pirates de Black Basta
Adieu le chiffrement des données
Selon une étude réalisée par ReliaQuest, la grande majorité des virus spécialisés dans l’extorsion ne prennent même plus la peine de chiffrer les données de leurs victimes. En fait, plus de 80 % des attaques par ransomware recensées l’an dernier ne comprennent pas de chiffrement des données.
Au lieu de chiffrer les données, les pirates préfèrent les exfiltrer. Cette approche permet d’accélérer le déroulement de la cyberattaque. Comme l’indique ReliaQuest, une attaque qui se concentre sur le vol de fichiers est 34 % plus rapide qu’une offensive avec chiffrement d’informations. C’est évidemment plus rapide de voler des fichiers que de les chiffrer avec un ransomware.
Avec cette nouvelle stratégie, les pirates restent dans le réseau infecté pendant deux heures de moins. Il faut un peu plus de 4 heures pour exfiltrer les données et 6 heures pour les chiffrer. Entre l’accès initial et le mouvement latéral vers d’autres parties du système, il ne faut en moyenne que 48 minutes. Certaines attaques peuvent ne prendre que 27 minutes entre ces deux étapes.
Dans 80 % des violations que nous avons étudiées, seule l’exfiltration de données était impliquée. Le chiffrement devient moins efficace, poussant les groupes de ransomware à exploiter les données volées pour l’extorsion, la revente ou l’accès à de nouvelles cibles. Ils jouent sur la peur des atteintes à la réputation, des sanctions réglementaires et de la divulgation d’informations sensibles, explique ReliaQuest dans son rapport.
À lire aussi : les victimes ne paient plus, les pirates changent de tactique
De l’IA pour identifier les attaques
Face à des pirates de plus en plus rapides, les défenses doivent s’améliorer, estime Michael McPherson, vice-président en charge des opérations techniques de ReliaQuest. Alors « que les attaquants se déplacent plus vite que jamais, nos défenses doivent également s’accélérer », souligne le responsable, ajoutant que les « réponses manuelles ne sont plus suffisantes pour arrêter les menaces d’aujourd’hui ».
Pour lutter efficacement contre les ransomwares modernes, les spécialistes de la sécurité doivent « tirer parti de l’automatisation et de l’IA afin de garder une longueur d’avance ». L’IA, par le biais d’algorithmes d’apprentissage automatique, peut identifier des anomalies dans le trafic réseau, les connexions ou dans les comportements des utilisateurs. L’intelligence artificielle peut ainsi « traiter les alertes de sécurité 20 fois plus rapidement que les méthodes traditionnelles, avec une plus grande précision de 30 % dans l’identification des véritables menaces ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : ReliaQuest
