La
En 2019, le monde a connu une nouvelle méthode d'attaque par rançongiciel : la double extorsion. L'attaque, qui était par un groupe malveillant-
2020 a également vu des groupes malveillants comme REvil, Ragnar-locker et Lock bit rejoindre le labyrinthe pour participer à une exploitation réussie et dévastatrice des entreprises. Déjà, plus de
Dans une attaque de ransomware par double extorsion, des acteurs malveillants obtiennent un accès non autorisé à un réseau pour extraire et chiffrer des données dans l'espoir d'un paiement de rançon. Contrairement à la simple attaque de ransomware, cette méthode diminue l'effet des données sauvegardées. Les attaquants exploitent désormais les données extraites pour faire pression sur les victimes. Ils peuvent aller jusqu'à publier les données ou vendre à un concurrent si la victime refuse d'obtempérer.
Double extorsion avec des résultats impardonnables lorsqu'elle est exécutée avec succès. Les victimes sont soit confrontées à des pertes financières pour les acteurs de la menace, soit à la conformité et à la défiguration publique.
En 2022, cette procédure d'attaque a toujours le vent en poupe. Selon le
L'attaque de rançongiciel à double extorsion commence comme une attaque passive qui se transforme en une attaque active dévastatrice comme le cryptage des données et DDOS. La séquence de ces attaques commence par un processus où l'attaquant doit accéder au système de l'entreprise via n'importe quel vecteur d'attaque.
Les vecteurs d'attaque peuvent être de l'ingénierie sociale ou de la programmation, qui incluent le phishing, la force brute sur les serveurs de bureau à distance, les logiciels malveillants, les exploitations de vulnérabilités, etc.
Une fois que l'acteur a accédé au système, il effectue une attaque de reconnaissance par mouvement latéral. À ce stade, il s'agit toujours d'une attaque passive car l'acteur se fait passer pour l'utilisateur d'origine pour échapper à la détection et obtenir des informations précieuses pour son attaque potentielle.
Lorsque l'acteur malveillant a recueilli des données précieuses, il exfiltre les données et déploie le code malveillant, qui crypte les données.
Groupe IB, dans son rapport,
Les entreprises risquent de défigurer leur marque en raison de fuites de données et de DDOS. Travelex, une agence de voyages, a vu sa réputation tomber à l'eau dans le
Après avoir interrompu leurs services, ce qui a laissé les clients bloqués, REvil a également menacé de publier des données exfiltrées si l'entreprise refusait de payer la rançon. La double attaque de rançongiciel d'extorsion ici a été dévastatrice car même si Travelex s'est conformé pour restaurer les services et empêcher les fuites de données, la violation de la confidentialité et le DDOS ont porté atteinte à leur réputation.
Les entreprises dépendent des données sauvegardées pour éviter de perdre beaucoup de fonds à cause des événements de ransomware. Néanmoins, les chances que cela soit encore très efficace sont faibles en cas de double extorsion.
Les attaquants exploitent désormais les données exfiltrées ; les entreprises piratées devront payer la rançon, d'une valeur de plusieurs millions de dollars, ou faire divulguer leurs informations sensibles dans le domaine public. Avec des données précieuses sur ces entreprises exposées au public, elles peuvent encourir de lourdes amendes de conformité, comme ce fut le cas avec
Plus encore, les entreprises qui ne cèdent pas aux demandes risquent de perdre la valeur de leurs actions lorsqu'elles sont vendues à découvert. Selon l'avis de la division cyber du FBI-
Étant donné que les attaquants ont un accès complet à un réseau d'entreprise, ils peuvent escalader leur accès aux partenaires et aux données des consommateurs. Avec cela, les acteurs de la menace peuvent exfiltrer ces données et exiger une rançon des partenaires ou des consommateurs.
Un exemple de cet événement était dans le cas de
L'utilisation de la méthode de double extorsion a triplé en raison de son succès.
L'effet néfaste de cet incident peut faire en sorte qu'une entreprise perde la plupart de son précieux personnel. Selon le 2022
Certaines petites et grandes entreprises perdent leurs employés parce qu'elles ne peuvent pas payer les salaires après une perte de fonds importante. Dans certains scénarios, la perte élevée de fonds est due au fait que les attaquants ont exigé une double rançon.
D'un autre côté, cela peut arriver parce que leurs actions chutent après avoir été exposées à des informations importantes sur des plateformes comme le NASDAQ.
Avec l'augmentation des attaques de rançongiciels de double extorsion, vous n'avez pas besoin d'attendre après l'attaque avant d'agir. La proactivité est le meilleur moyen de lutter contre cette attaque. Bien que cela n'élimine pas les chances d'infiltrer une entreprise, cela minimise les chances. De plus, cela minimise les pertes en cas de rupture.
Les entreprises permettent aux particuliers d'avoir un accès privilégié à leur réseau, même dans les zones les plus sensibles. Lorsque cela se produit, ils placent l'architecture dans un endroit vulnérable pour une attaque de ransomware.
Les entreprises doivent pratiquer une politique de confiance zéro en restreignant l'accès à leur réseau. Ils doivent considérer tous les éléments de leur réseau, y compris les initiés, comme une menace probable. Il devrait y avoir une authentification obligatoire des éléments avant d'accorder l'accès.
Une autre recommandation consiste à créer une segmentation du réseau pour tous les accès accordés. Cette pratique limitera la propagation des logiciels malveillants.
Le point de pression pour les acteurs malveillants qui utilisent cette série d'attaques est qu'ils ont exfiltré vos données et peuvent les publier si vous refusez de payer une rançon. Cependant, les entreprises peuvent prendre une longueur d'avance en chiffrant leurs données dès le départ.
En cryptant vos données, vous avez refusé à l'acteur malveillant l'accès à vos données, réduisant ainsi son pouvoir de négociation. L'auteur de la menace ne peut plus menacer de fuites de données ; le pire qu'il puisse faire est de chiffrer deux fois vos données.
La double extorsion a fait apparaître la sauvegarde hors ligne comme une option moins efficace pour atténuer les actions malveillantes. Néanmoins, la sauvegarde hors ligne peut sauver votre entreprise des dommages si vous pratiquez le cryptage des données. De cette façon, même lorsque les attaquants doublent le cryptage de vos données, vous pouvez revenir aux données sauvegardées hors ligne.
L'émergence du covid 19 a vu le taux d'emplois à distance monter en flèche. Davantage d'employés peuvent désormais accéder aux réseaux sensibles via un routeur externe. Bien que cette évolution facilite la vie des travailleurs, elle crée davantage de vulnérabilités pour leurs employeurs.
Les attaquants exploitent l'ignorance de certains employés pour leurs exploits. Même les employés peuvent constituer une menace involontaire ; néanmoins, cela peut être évité grâce à la sensibilisation. La recommandation est que les entreprises intensifient la sensibilisation interne aux attaques de ransomwares et à leurs implications.
Les entreprises évaluent les lacunes de leur réseau de deux manières, selon la taille de leur infrastructure. Ils peuvent effectuer une évaluation ou une simulation de vulnérabilité par un testeur de stylo. Grâce à cela, ils peuvent repérer toute faille de sécurité et toute mauvaise configuration qui facilitent une attaque potentielle.
Il est également essentiel de corriger rapidement toutes les vulnérabilités et d'effectuer les mises à jour de sécurité nécessaires, sinon tout effort est vain, comme ce fut le cas pour Travelex. Avant l'attaque REvil, Kevin Beaumount, un chercheur en sécurité, a déclaré que
Les entreprises peuvent observer les activités des paquets sur leur réseau avec des outils qui les alertent lorsque quelque chose d'inhabituel se produit. En surveillant le journal des données, vous pouvez immédiatement repérer une attaque de logiciel malveillant et l'arrêter avant qu'elle ne s'intensifie.
Alors que les entreprises et les professionnels de la cybersécurité font de leur mieux pour sécuriser leur infrastructure, les attaquants de Ransomware redoublent d'efforts pour rendre le travail fastidieux.
Outre la double extorsion, les autres tactiques utilisées par les attaquants de ransomware incluent la triple extorsion et la quadruple extorsion. Les experts en cybersécurité doivent mettre à jour leurs connaissances et leurs compétences pour lutter contre ce problème.
De plus, les entreprises devraient être plus intentionnelles et dédiées à leur infrastructure de sécurité. Ils doivent adopter les tendances récentes en matière de sécurité et les mettre en œuvre dans leur organisation.