Mise à jour du guide « StopRansomware » sur fond d’évolution des tactiques

L’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) vient de mettre à jour son guide « StopRansomware » pour refléter l’évolution du paysage de la menace. Celui-ci a vu un changement majeur des tactiques d’extorsion, les attaquants s’appuyant uniquement sur le vol de données et leur divulgation pour faire pression sur les victimes afin qu’elles paient.

La double extorsion – dans le cadre de laquelle les acteurs malveillants exfiltrent et menacent de divulguer les données volées, tout en chiffrant les systèmes des victimes – a connu une hausse significative parmi les groupes de ransomware au début de 2019. L’approche s’est montrée efficace pour faire pression sur les organisations afin d’obtenir le paiement des rançons demandées. Cependant, des attaques récentes, des rapports de fournisseurs et des avis gouvernementaux illustrent la façon dont les attaquants reviennent maintenant à une approche d’extorsion simple et choisissent de nouvelles cibles telles que les serveurs d’hyperviseurs VMware ESXi, pour faire des victimes à grande échelle.

« Au fil du temps, les acteurs malveillants ont adapté leurs tactiques de ransomware pour les rendre plus destructrices et plus percutantes. »

« Au fil du temps, les acteurs malveillants ont adapté leurs tactiques de ransomware pour les rendre plus destructrices et plus percutantes. Ils ont également exfiltré les données des victimes et fait pression sur elles pour qu’elles paient en menaçant de divulguer les données volées. L’application de ces deux tactiques est connue sous le nom de “double extorsion” », écrit la CISA dans son guide. « Dans certains cas, des acteurs malveillants peuvent exfiltrer des données et menacer de les divulguer comme seule forme d’extorsion sans utiliser de ransomware ».

Ces attaques en extorsion simple ne sont pas nécessairement moins dangereuses que celles impliquant le chiffrement de données, car les acteurs malveillants ont adopté des tactiques de plus en plus agressives. Non seulement les gangs de ransomware utilisent leurs sites de fuites de données publiques pour pousser les victimes à payer, mais ils contactent également des proches des victimes et leurs concurrents pour forcer les organisations à agir. En outre, certains opérateurs de ransomwares exigent des paiements en menaçant de divulguer des photos et des vidéos sensibles.

Outre les techniques d’extorsion impitoyables, les cibles changent également, car les gangs utilisent les vulnérabilités pour commettre des attaques de grande envergure. Par exemple, le groupe Cl0p a exploité en janvier une faille dans le logiciel de transfert de fichiers GoAnywhere de Fortra, ce qui a entraîné des retombées importantes jusqu’au mois d’avril. Par le biais d’une seule cible et sans déployer de ransomware, le groupe a fait un grand nombre de victimes, y compris des entreprises de premier plan.

Dans le cadre de la mise à jour du guide « StopRansomware Guide », la CISA a également publié un avertissement concernant une autre cible permanente : les serveurs VMware ESXi. En février, des opérateurs utilisant une nouvelle variante de ransomware baptisée ESXiArgs ont exploité des vulnérabilités dans des hyperviseurs non patchés, ce qui a donné lieu à une campagne de grande envergure. À la suite de ces attaques, la CISA a exhorté les entreprises à mettre à jour tous les environnements virtualisés et tous les hyperviseurs.

Un autre avertissement concerne les tiers et les fournisseurs de services managés, que les attaquants ciblent pour obtenir un accès initial à un environnement d’entreprise par le biais d’un accès à distance, selon la CISA. Le guide souligne que « les MSP ont été un vecteur d’infection pour les ransomwares ayant un impact sur de nombreuses organisations clientes ». En France, des clients de Bouygues Telecom Entreprises OnCloud en ont récemment fait l’amer constat, tandis qu’Alphv/BlackCat assure avoir frappé Group DIS. 

Les recommandations de sécurité de la CISA changent pour s’adapter à l’évolution de la cyberextorsion. Si le maintien de sauvegardes suffisantes reste essentiel au processus de récupération, de nouvelles mises en garde s’imposent lorsqu’il s’agit de sécuriser les données dans le cloud. La CISA a souligné l’importance de conserver des sauvegardes chiffrées hors ligne des données critiques, car les variantes de ransomware chiffreront les sauvegardes accessibles afin d’augmenter la pression pour payer.

« Les sauvegardes automatisées dans le cloud peuvent ne pas être suffisantes, car si des fichiers locaux sont chiffrés par un attaquant, ces fichiers seront synchronisés avec le cloud, ce qui pourrait écraser les données non affectées », peut-on lire dans le guide.

La CISA recommande d’utiliser l’infrastructure en tant que code pour déployer et mettre à jour les ressources en cloud et de conserver les sauvegardes des fichiers modèles hors ligne.