Étude : la défense contre les ransomwares serait en progrès

Les rançongiciels continuent de constituer un problème majeur pour les organisations du monde entier, mais les défenseurs semblent s’améliorer, selon une nouvelle étude publiée par l’X-Force d’IBM.

IBM a publié ce mercredi 22 février la dernière édition de Threat Intelligence Index, un rapport annuel consacré aux conclusions de l’équipe de renseignement sur les menaces, X-Force d’IBM, sur la base de ses engagements de réponse aux incidents l’année précédente. Le rapport de 58 pages couvre les recherches menées dans l’ensemble du paysage de la sécurité, y compris les tendances industrielles et géopolitiques ainsi que l’activité offensive associée aux ransomwares.

L’une des catégories analysées dans le rapport est « l’action sur l’objectif », qui fait référence aux actions spécifiques entreprises par les attaquants contre les SI de leurs victimes. La mise en place de portes dérobées est l’action la plus courante (21 %), suivie par le déclenchement de ransomware (17 %) et la compromission du courrier électronique professionnel (6 %). La part du ransomware s’est inscrite en baisse par rapport à la première édition.

En outre, deux tiers des activités impliquant des portes dérobées suivies par IBM présentaient les caractéristiques d’une attaque potentielle avec rançongiciel. Mais le déploiement de la charge finale a été contrecarré avec succès par les équipes de sécurité et les équipes de réponse à incident avant qu’il ne soit finalisé. 

« Ce n’est qu’une petite progression ; ce n’est donc pas comme si nous avions résolu le problème. Mais c’est le premier indicateur d’une amélioration. »

IBM note que les courtiers d’accès initial, qui sont devenus un élément courant de l’écosystème des ransomwares, installent souvent des portes dérobées dans les entreprises et vendent cet accès aux enchères à d’autres cybercriminels pour 5 000 à 10 000 dollars.

Responsable de recherche d’IBM X-Force, John Dwyer a déclaré à TechTarget que la baisse de la part des déploiements réussis de rançongiciels est la première que l’entreprise a observée en cinq ans. Bien que d’autres activités comme les portes dérobées puissent traduire une telle activité à un stade précoce, il s’agit d’une légère évolution suggérant que les défenseurs s’améliorent.

« Les défenseurs deviennent bons », estime John Dwyer. « Ce n’est qu’une petite progression ; ce n’est donc pas comme si nous avions résolu le problème. Mais c’est le premier indicateur d’une amélioration ».

John Dwyer souligne que cette tendance positive ne doit pas être utilisée comme une raison pour les organisations de se reposer sur leurs lauriers, car « les ransomwares constituent toujours un élément massif de l’écosystème de la cybercriminalité ». Et les tendances de l’année écoulée ne sont pas toutes positives.

Le rapport attire l’attention sur un précédent, de juin 2022, qui notait une baisse de 94,34 % de la durée des cyberattaques avec ransomware entre l’accès initial et le déclenchement – de plus de deux mois à un peu moins de quatre jours – entre 2019 et 2021.

Pour John Dwyer, 2023 est un « point d’inflexion » pour les ransomwares, car les innovations des acteurs de la menace et des défenseurs ont fait de 2022 une année particulièrement intéressante.

« Nous pourrions regarder en arrière et être en mesure de constater que 2017 à 2021 a été l’âge d’or du ransomware. »

« Nous pourrions regarder en arrière et être en mesure de constater que 2017 à 2021 a été l’âge d’or du ransomware », juge-t-il. « Nous commençons à voir les organisations le prendre plus au sérieux, investir dans la cybersécurité et [donner la priorité] à la détection et à la réponse aux menaces ; ou allons-nous dire que [2022] n’était qu’une anomalie ? C’est pourquoi c’est si intéressant. C’est comme si nous vivions vraiment l’histoire en ce moment dans le domaine de la cybersécurité ».

Selon le rapport, les acteurs du ransomware ont notamment innové en rendant les données volées à leurs victimes plus accessibles en aval par le biais de leurs sites vitrine. Par exemple, les opérateurs de la franchise Alphv/BlackCat ont lancé un site Web où les employés et les clients d’une organisation victime pouvaient effectuer des recherches dans une base de données, pour voir si leurs informations personnelles ou financières avaient été compromises dans une attaque. De quoi exercer une pression supplémentaire sur les organisations attaquées. 

Hors ransomware, l’industrie manufacturière a été, selon X-Force, le secteur le plus attaqué en 2022. 24,8 % des attaques suivies par IBM concernaient le secteur de la fabrication, et 58 % des engagements d’IBM en matière de technologie opérationnelle (OT) étaient liés à la fabrication. De même, le fournisseur de sécurité OT Dragos a publié un rapport de recherche la semaine dernière qui mentionnait que 72 % de toutes les attaques par ransomware OT qu’il a suivies en 2022 impliquaient le secteur.