L’un des plus gros paiements de ransomware rendu public a été signalé mardi par la société de sécurité cloud Zscaler.

Le paiement de 75 millions de dollars versé au groupe de ransomware Dark Angels a été découvert par ThreatLabz, la branche de recherche en sécurité de Zscaler, plus tôt cette année, selon le rapport annuel sur les ransomwares de la société, qui couvre une période allant d’avril 2023 à avril 2024.

Zscaler n’a pas divulgué le nom de la société qui a payé la rançon.

« Dark Angels opère différemment de la plupart des autres groupes de ransomware », a observé Brett Stone-Gross, directeur du renseignement sur les menaces chez Zscaler.

« Au lieu de confier les attaques à des filiales, ils les lancent à une échelle beaucoup plus réduite », a-t-il déclaré à TechNewsWorld. « Au lieu de cibler des dizaines ou des centaines d’entreprises, ils s’en prennent à de très grandes entreprises une par une. »

Le groupe s’écarte également du mode opératoire de la plupart de ses pairs sur un autre point. « Ils volent une grande quantité de données, mais ils veulent éviter toute perturbation de leurs activités », a déclaré Stone-Gross. « Ils veulent rester à l’écart des gros titres, car cela réduit le degré de surveillance dont ils font l’objet de la part des forces de l’ordre et des chercheurs. »

La stratégie du groupe de ransomware Dark Angels, qui consiste à cibler un petit nombre d’entreprises de grande valeur pour des paiements importants, est une tendance qui mérite d’être surveillée, note le rapport.

Zscaler ThreatLabz prédit que d’autres groupes de ransomware prendront note du succès des Dark Angels et pourraient adopter des tactiques similaires. Pour maximiser leurs gains financiers, ils se concentreront sur des cibles à forte valeur ajoutée et augmenteront l’importance du vol de données.

Le vol de données fait déjà partie du plan de jeu de nombreux acteurs de ransomware, a ajouté Steve Stone, directeur de Zero Labs chez Rubrik, une société mondiale de logiciels de sécurité et de sauvegarde des données. « Les acteurs de ransomware ne se contentent pas de crypter les environnements et de demander une rançon », a-t-il déclaré à TechNewsWorld. « Ils font cela et volent des données pour pouvoir faire une demande d’extorsion. Il s’agit en fait d’une double rançon. »

Menace croissante

Zscaler a également signalé que le nombre d’attaques de ransomware bloquées par son cloud a augmenté de 17,8 % au cours de la période de référence, et le nombre d’entreprises extorquées sur des sites de fuite de données a augmenté de 57,8 % au cours de la même période, malgré de nombreuses opérations d’application de la loi, notamment la saisie d’infrastructures, des arrestations, des inculpations pénales et des sanctions.

Chris Morales, CISO chez Netenrich, un fournisseur de services de centres d’opérations de sécurité basé à San Jose, en Californie, a identifié plusieurs facteurs contribuant à la croissance des ransomwares. Il s’agit notamment de surfaces d’attaque étendues en raison du travail à distance et de l’adoption du cloud, d’attaques de ransomware plus sophistiquées impliquant souvent l’exfiltration de données et de la démocratisation des outils d’attaque via le ransomware-as-a-service.

« Nous constatons également des violations de plus grande ampleur affectant des millions d’utilisateurs à la fois », a-t-il déclaré à TechNewsWorld. « Cette augmentation souligne non seulement le besoin urgent d’un changement de paradigme dans les opérations de sécurité, mais aussi la nécessité d’une action immédiate, en s’orientant vers des stratégies plus proactives et axées sur les données. »

« Nous prévoyons que les violations et les attaques de ransomware continueront d’augmenter au cours du second semestre 2024, ciblant en particulier les soins de santé, la fabrication, les infrastructures critiques et les chaînes d’approvisionnement », a ajouté Stephen Kowski, directeur technique de terrain chez SlashNext, une société de sécurité informatique et réseau basée à Pleasanton, en Californie.

« Les récents incidents très médiatisés, comme les piratages de fournisseurs dans le secteur de la santé et chez des concessionnaires automobiles, mettent en évidence les vulnérabilités actuelles », a-t-il déclaré à TechNewsWorld. « Pour lutter contre cela, les entreprises doivent se concentrer sur le renforcement de la sécurité des e-mails, la mise en œuvre d’architectures Zero Trust et l’amélioration des capacités de détection et de réponse aux menaces. »

Principales cibles sectorielles

Selon le rapport, les secteurs de l’industrie manufacturière, de la santé et de la technologie ont été les principaux ciblés par les attaques de ransomware, tandis que le secteur de l’énergie a connu une augmentation de 500 % d’une année sur l’autre, car les infrastructures critiques et la vulnérabilité aux perturbations opérationnelles le rendent particulièrement attrayant pour les cybercriminels.

Parmi les principales cibles de la cyberextorsion, le secteur manufacturier est en tête. Il a été ciblé plus de deux fois plus que n’importe quel autre secteur.

« De nombreuses entreprises de fabrication existent depuis longtemps et de nombreuses habitudes héritées du passé ne leur sont pas utiles en matière de ransomware », a noté Stone de Zero Labs.

Marcus Fowler, PDG de Darktrace Federal, une société mondiale d’IA en matière de cybersécurité, a expliqué que les fournisseurs d’infrastructures critiques et les entreprises de fabrication recherchent de plus en plus la convergence des technologies de l’information et des technologies opérationnelles, car les avantages de la collecte et de l’analyse des données peuvent améliorer considérablement l’efficacité de la production, la maintenance et la mise à l’échelle.

« Avec la convergence IT/OT qui élargit les surfaces d’attaque, le personnel de sécurité a des charges de travail accrues qui rendent difficile de suivre le rythme des menaces et des vulnérabilités », a-t-il déclaré à TechNewsWorld.

« L’industrie manufacturière a connu une numérisation importante afin de devenir plus agile et efficace », a ajouté Rogier Fischer, PDG d’Hadrian, le fabricant d’une solution de numérisation automatisée basée sur les événements à Amsterdam.

« L’inconvénient est que les processus qui étaient jusque-là isolés sont désormais connectés aux systèmes informatiques des entreprises », a-t-il déclaré à TechNewsWorld. « L’interconnectivité des environnements OT et IT, ainsi que le fait que l’industrie manufacturière soit historiquement moins sensibilisée à la cybersécurité, font de ce secteur une cible attrayante. »

Besoin de Zero Trust

Deepen Desai, directeur de la sécurité de Zscaler, affirme que la défense contre les ransomwares reste une priorité absolue pour les RSSI en 2024. « L’utilisation croissante de modèles de ransomware en tant que service, ainsi que de nombreuses attaques zero-day sur les systèmes hérités, une augmentation des attaques de vishing et l’émergence d’attaques alimentées par l’IA, ont conduit à des paiements de rançon record », a-t-il déclaré dans un communiqué.

« Les organisations doivent donner la priorité à l’architecture Zero Trust pour renforcer leur posture de sécurité contre les attaques de ransomware », a ajouté Desai.

Fischer a souligné que le zero trust fait partie d’un changement de mentalité. « Il s’agit de passer d’une approche réactive, qui consiste à se demander comment détecter une attaque en cours ou comment réagir à un incident, à une approche proactive, qui consiste à se demander comment empêcher les acteurs malveillants d’entrer. Le zero trust et les principes de sécurité offensive aident les organisations à atténuer les cyber-risques de manière proactive. »

La priorisation et l’investissement en matière de cybersécurité avant une attaque cybercriminelle sont essentiels pour les organisations de toutes tailles, a ajouté Anne Cutler, évangéliste en cybersécurité chez Keeper Security, une société de gestion de mots de passe et de stockage en ligne à Chicago.

« Un modèle de sécurité Zero Trust avec un accès à privilèges minimaux et des sauvegardes de données robustes limitera le rayon d’action en cas de cyberattaque », a-t-elle déclaré à TechNewsWorld. « De plus, une gestion solide des identités et des accès en amont contribuera à prévenir les cyberattaques les plus courantes qui peuvent conduire à une violation de données désastreuse. »

Cependant, Steve Hahn, vice-président exécutif pour les Amériques de BullWall, un fournisseur de solutions de confinement, de protection et d’atténuation des ransomwares au Danemark, a averti que même si le zero trust réduira certainement les risques d’attaque, le voyage est généralement très long pour les clients et n’est toujours pas une solution miracle.

« Les attaques zero-day, l’informatique fantôme, les appareils personnels, les appareils IoT, sont tous des vecteurs d’attaque pour les ransomwares », a-t-il déclaré à TechNewsWorld, « et une fois que le chiffrement commence sur les lecteurs partagés, qu’ils soient dans le cloud ou locaux, ce n’est qu’une question de temps avant que toutes les données soient chiffrées, même avec une architecture réseau zero-trust en place. »

A lire également