Technologie
Produits
Ressources
Entreprise
Français
Technologie
Produits
Blog
Ressources
Entreprise

Les 9 stades des ransomwares : comment l’IA répond à chaque étape

Dan Fein, VP of Product | jeudi 23 décembre 2021

Si les ransomwares portent ce nom, c’est parce que leur but consiste à prendre possession de certains actifs et à exiger une rançon pour leur restitution. Les victimes versent cette rançon en échange de la discrétion des voleurs et de leur coopération pour rendre les données exfiltrées et fournir les clés de déchiffrement qui permettront la reprise de l’activité.

Le montant moyen des rançons monte en flèche. Il a atteint 5,3 millions de dollars en 2021, soit une augmentation de 518 % par rapport à l’année précédente. Mais le coût associé à la reprise de l’activité après une attaque par ransomware va bien au-delà du montant de la rançon : après une telle attaque, on constate en moyenne un temps d’arrêt de 21 jours et 66 % des victimes de ransomware rapportent une perte importante de chiffre d’affaires.

Dans cette série, nous analysons ce sujet critique en détail, étape par étape. Les ransomwares comportent plusieurs phases distinctes. Pour les combattre, vous avez besoin d’une solution multiphase qui neutralise chaque l’attaque à chaque stade efficacement et de façon autonome. Découvrir comment l’IA Auto-Apprenante et la Réponse Autonome stoppent les ransomwares instantanément.

1. Intrusion initiale (e-mail)

L’accès initial, première phase d’une attaque par ransomware, peut être établi par force brute sur RDP (service Internet vulnérable), via un site web malveillant ou par un téléchargement opportuniste, par un acteur interne malveillant doté d’identifiants appartenant à l’entreprise, par le biais de vulnérabilités de certains systèmes ou logiciels, ou par de nombreux autres vecteurs d’attaque.

Toutefois, l’e-mail demeure le vecteur d’attaque initial le plus courant. La plus grande faiblesse des organisations en matière de securité sont souvent leurs employés. Les cybercriminels le savent et débordent d’imagination pour exploiter cette vulnérabilité. Ils adressent des e-mails ciblés, bien documentés, à l’aspect légitime à certains employés spécifiques dans le but de susciter une réaction : cliquer sur un lien, ouvrir une pièce jointe, confier ses identifiants ou d’autres informations sensibles.

Les passerelles : stoppent ce qui a déjà été observé

La plupart des outils traditionnels de protection de la messagerie s’appuient sur des indicateurs issus d’attaques antérieures pour tenter de détecter la prochaine menace. Si un e-mail provient d’une adresse IP ou d’un domaine sur liste noire et qu’il utilise un malware connu qui a déjà été observé, il est alors possible de bloquer l’attaque.

En réalité, les cybercriminels savent que la majorité des outils de défense adoptent cette approche historique ; c’est pourquoi ils mettent constamment à jour leur infrastructure d’attaque afin d’échapper à ces outils. En achetant de nouveaux domaines pour quelques centimes, ou modifiant légèrement le code des malwares afin de créer des versions personnalisées, ils évitent et devancent l’approche héritée des passerelles e-mail traditionnelles.

Exemple de situation réelle : attaque par phishing de la chaîne d'approvisionnement

En comparaison, Darktrace forme une compréhension en perpétuelle évolution de ce qui constitue une situation « normale » pour chaque utilisateur de la messagerie de l’organisation, ce qui lui permet de détecter les écarts subtils indicateurs d’une menace, même si l’expéditeur ou les contenus malveillants de l’e-mail sont inconnus du « threat intelligence ». Ainsi, la technologie a récemment neutralisé une attaque visant l’écurie McLaren Racing, lors de laquelle une douzaine de collaborateurs a reçu un e-mail ciblé renfermant un lien malveillant. Ce précurseur potentiel de ransomware avait totalement échappé aux outils traditionnels de protection de la messagerie, principalement parce qu’il provenait d’un fournisseur déjà connu. Pourtant, Darktrace a reconnu que le compte de l’expéditeur avait été piraté et a retenu les e-mails.

Thu Oct 14 2021, 15:21:13
You received a v-mail
100%
Held
Out of Character
Solicitation
Suspicious Link
Known Correspondent
Hold message
Anomaly Indicators

The anomaly score assigned to this email was unusually high for the organization [redacted]. One of the contributing factors was an unusual link to [redacted].

The email contains a highly suspicious link to a host [redacted]. The host has a 100% rarity score based on references in internal traffic, indicating no prior association. The link was hidden from the user and masked by text reading LISTEN/PLAY VOICEMESSAGE. An inducement score of 84% suggests the sender is trying to induce the user into clicking.

The email exhibited an anomaly score of 100% and was held from the user’s inbox.

Figure 1 : capture d’écran interactive de l’interface Threat Visualizer de Darktrace, mettant en évidence l’e-mail malveillant

2. Intrusion initiale (côté serveur)

Comme les organisations ont rapidement étendu leur périmètre connecté à Internet, c’est toute la surface d’attaque qui a augmenté. On a donc logiquement observé une explosion des attaques « traditionnelles » par force brute et côté serveur.

De nombreuses vulnérabilités touchant les serveurs et les systèmes connectés à Internet ont été révélées cette année. Du côté des cybercriminels, il n’a jamais été aussi facile de cibler les infrastructures connectées à Internet : des outils tels que Shodan ou MassScan permettent de parcourir facilement Internet à la recherche de systèmes vulnérables.

Les attaquants peuvent également établir un accès initial en employant une approche par force brute RDP ou des identifiants dérobés ; il est d’ailleurs fréquent de recycler des identifiants légitimes obtenus à partir de fuites de données antérieures. Cette méthode est bien plus précise et génère moins de bruit qu’une attaque par force brute classique.

De nombreux ransomwares utilisent le protocole RDP comme vecteur d’entrée. Cette méthode s’inscrit dans une tendance plus générale, celle du « Living off the Land » : il s’agit d’utiliser des outils légitimes disponibles dans le commerce (utilisation abusive des protocoles RDP ou SMB1 ou d’outils de ligne de commande WMI ou Powershell) pour désorienter les outils de détection et d’attribution en se fondant parmi les activités typiques des administrateurs. Il ne suffit pas de s’assurer que les sauvegardes sont isolées, les configurations renforcées et les correctifs système appliqués : la détection en temps réel de chaque action anormale est vitale.

Antivirus, pare-feu et SIEM

Les antivirus présents sur les endpoints sont uniquement capables de détecter les téléchargements de malware si ce malware a déjà été observé et consigné. Les pare-feu requièrent en général une configuration spécifique à chaque organisation ; ils doivent souvent être modifiés en fonction de l’évolution des besoins de l’entreprise. Si le pare-feu ne contient aucune règle ou signature correspondant exactement à l’attaque rencontrée, il la laissera passer.

Les outils SIEM et SOAR recherchent également des malwares connus en s’appuyant sur des règles prédéfinies et des réponses préprogrammées. Même si ces outils recherchent bel et bien des modèles anormaux, ces modèles sont définis à l’avance, et leur approche part du principe qu’une nouvelle attaque ressemblera suffisamment à des attaques déjà connues.

Exemple de situation réelle : ransomware Dharma

Darktrace a détecté au Royaume-Uni une attaque ciblée utilisant le ransomware Dharma, lancée en exploitant une connexion RDP ouverte sur des serveurs connectés à Internet. Le serveur RDP a commencé à recevoir un grand nombre de connexions entrantes provenant d’adresses IP rares via Internet. L’identifiant RDP utilisé pour cette attaque avait sans doute été compromis avant l’attaque, soit par force brute, soit par des attaques de type stuffing ou phishing. Parmi les techniques couramment utilisées, l’une des plus populaires en ce moment consiste à acheter des identifiants RDP et à passer directement à l’accès initial.

Figure 2 : violations de modèle déclenchées au cours de cette attaque, notamment concernant l’activité RDP anormale

Malheureusement, dans ce cas, la Réponse Autonome n’était pas installée et le ransomware Dharma a continué son déploiement jusqu’aux étapes finales. L’équipe de sécurité a alors dû intervenir de façon agressive en déconnectant le serveur RDP en plein chiffrement.

3. Mise en place de l’accès initial d’un canal C2

Que ce soit grâce au phishing, à une attaque par force brute ou toute autre méthode, le cybercriminel réussit à pénétrer le réseau. Il prend ensuite contact avec la ou les machine(s) compromise(s) afin d’établir une présence initiale.

Cette étape permet à l’attaquant de contrôler à distance les phases suivantes de l’attaque. Tout au long de ces communications de commande et contrôle (C2), d’autres malwares peuvent être transmis aux machines. Ils renforcent la présence de l’attaquant au sein de l’organisation et facilitent les déplacements latéraux.

Les cybercriminels peuvent adapter les fonctionnalités des malwares à l’aide de différents plug-ins prêts à l’emploi, qui leur permettent de se faire discrets sur le réseau d’entreprise. Les ransomwares modernes et sophistiqués sont capables de s’adapter eux-mêmes à leur environnement et d’opérer de façon autonome, en se fondant dans l’activité normale de l’entreprise, même lorsqu’ils sont déconnectés de leur serveur de commande et contrôle. Ces ransomwares « autosuffisants » posent un problème de taille aux outils traditionnels, qui détectent uniquement les menaces en fonction des connexions externes indésirables qu’elles ont établies.

La détection des connexions isolées face à une compréhension globale de l’entreprise

Les outils de sécurité traditionnels, tels que les systèmes de détection d’intrusions (IDS) et les pare-feu, ont tendance à examiner les connexions isolément au lieu de s’intéresser aux connexions précédentes, potentiellement pertinentes, ce qui rend la détection des canaux C2 très difficile.

Les IDS et les pare-feu sont capables de bloquer les domaines malveillants connus ou d’utiliser une forme de blocage par géolocalisation, mais un cybercriminel averti utiliserait probablement une nouvelle infrastructure dans un tel cas.

Certains aspects ne sont pas analysés par ces outils : la périodicité, la régularité ou l’irrégularité des connexions de communication, l’âge ou encore la rareté du domaine dans le contexte de l’environnement.

Darktrace adapte constamment sa compréhension de l’entreprise numérique. Ainsi, les connexions C2 suspectes et les téléchargements qui s’ensuivent sont détectés, même si le cybercriminel utilise des programmes et des méthodes habituelles pour l’entreprise. La technologie d’IA corrèle de multiples signaux subtils indicateurs de menaces en tenant compte notamment des connexions anormales vers des endpoints récents et/ou inhabituels, des téléchargements de fichiers anormaux, des connexions RDP entrantes, ainsi que des téléversements et téléchargements de données inhabituels.

Une fois que ces connexions/téléchargements ont été identifiés comme malveillants, la Réponse Autonome les neutralise tout en permettant la poursuite des activités normales de l’entreprise.

Exemple de situation réelle : attaque WastedLocker

Lorsqu’une attaque menée à l’aide du ransomware WastedLocker a touché un institut agricole aux États-Unis, Darktrace a immédiatement détecté l’activité C2 SSL initiale inhabituelle (en rapprochant la rareté de la destination, le caractère inhabituel de la méthodologie JA3 et l’analyse de fréquence). Antigena (qui était alors déployée en mode passif, et ne pouvait donc pas mettre en place d’actions autonomes) a immédiatement suggéré de bloquer le trafic C2 sur le port 443 et le scan interne parallèle sur le port 135.

Figure 3 : le Threat Visualizer révèle les actions qui auraient été mises en œuvre par Antigena

Lorsque des activités de balisage ont ensuite été observées vers bywce.payment.refinedwebs[.]com, cette fois via HTTP vers /updateSoftwareVersion, Antigena a relevé son niveau de réponse en bloquant les autres canaux C2.

Figure 4 : Antigena intensifie son niveau de réponse

4. Déplacement latéral

Une fois que l’attaquant dispose d’un accès initial à l’organisation, il commence à renforcer ses connaissances sur tous les actifs numériques de l’entreprise, ainsi que sa présence sur le réseau. De cette manière, il identifie et accède aux fichiers qu’il finira par exfiltrer et par chiffrer. Il commence la reconnaissance : scan réseau, catalogage des machines, identification des ressources les plus précieuses.

L’attaquant se met alors à se déplacer latéralement. Il infecte d’autres machines et cherche à élever son niveau de privilège, par exemple en obtenant des identifiants administrateur, ce qui lui permet de renforcer son contrôle sur l’environnement. Une fois qu’il dispose de l’autorité et de la présence souhaitées au sein de l’environnement numérique, il peut passer aux étapes finales de l’attaque.

Les ransomwares modernes intègrent des fonctions qui leur permettent de rechercher automatiquement les mots de passe stockés dans l’entreprise et de se propager dans le réseau. Les souches plus sophistiquées sont conçues pour se déployer différemment en fonction de l’environnement, de sorte que leur signature change constamment afin de les rendre plus difficiles à détecter.

Outils traditionnels : une réponse non adaptée face aux menaces connues

Parce qu’elles s’appuient sur des règles et des signatures statiques, les solutions traditionnelles ont du mal à empêcher le déplacement latéral et l’élévation des privilèges sans ralentir les opérations de l’entreprise. Même si, en théorie, une entreprise utilisant des pare-feu et des contrôles d’accès réseau internes, conjugués à une bonne segmentation du réseau et à une configuration idéale, est capable d’empêcher le déplacement latéral d’un réseau à l’autre, il est pratiquement impossible de préserver un équilibre parfait entre les contrôles qui protègent l’entreprise et ceux qui la perturbent.

Certaines organisations s’appuient sur des systèmes de prévention d’intrusion (IPS) pour bloquer le trafic réseau dès lors que des menaces connues sont détectées dans les paquets ; toutefois, comme pour les étapes précédentes, les malwares inédits échappent à toute détection, et cette méthode requiert une mise à jour constante de la base de données. Ces solutions s’installent en outre au niveau des points d’entrée/sortie, ce qui limite leur visibilité sur le réseau. Il est possible d’installer un IDS hors ligne, mais il ne dispose alors d’aucune capacité de réponse.

Une approche auto-apprenante

L’IA de Darktrace apprend « l’identité » de l’organisation, ce qui lui permet de détecter les activités suspectes indicatrices d’un déplacement latéral, que l’attaquant utilise une nouvelle infrastructure ou des techniques « Living off the Land ». Les activités inhabituelles détectées par Darktrace incluent les activités de scan, ou encore les activités SMB, RDP et SSH qui sortent de l’ordinaire. Autres modèles détectés lors de cette étape :

  • Activité suspecte sur une machine à haut risque
  • Écriture d’un EXE numérique sur SMB
  • Commande de service nouvelle ou inhabituelle

La Réponse Autonome met ensuite en œuvre des actions ciblées pour stopper la menace lors de cette phase. Elle bloque les connexions anormales, applique le « modèle comportemental normal » de la machine infectée ou du groupe de pairs, composé de machines que l’IA regroupe automatiquement afin d’empêcher qu’une machine du groupe ne se comporte d’une façon jamais observée chez les autres.

Si le comportement malveillant persiste, et uniquement si c’est nécessaire, Darktrace met en quarantaine la machine infectée.

Exemple de situation réelle : série inhabituelle de connexions RDP

Dans une organisation basée à Singapour, un serveur compromis a été utilisé pour créer un botnet, qui a commencé à se déplacer latéralement, principalement en établissant des séries de connexions RDP inhabituelles. Le serveur s’est ensuite mis à établir des connexions SMB et RPC vers des endpoints rares sur Internet dans le but de trouver des hôtes vulnérables.

Darktrace a détecté d’autres activités de déplacement latéral, notamment de nombreux échecs de connexion à des machines internes à l’aide du protocole de partage de fichier SMB utilisant différents noms d’utilisateur, ce qui évoque des tentatives d’accès réseau par force brute.

Figure 5 : le Cyber AI Analyst de Darktrace dévoile un scan TCP suspect, suivi d’une chaîne suspecte de connexions RDP administrateur

5. Exfiltration de données

Auparavant, les ransomwares visaient simplement à chiffrer un système d’exploitation et des fichiers réseau.

Aujourd’hui, à l’heure où les organisations cherchent à se protéger contre les chiffrements malveillants en faisant preuve d’une plus grande rigueur en matière de sauvegarde des données, les cybercriminels se tournent vers la « double extorsion ». Avec cette méthode, ils exfiltrent des données stratégiques et détruisent les systèmes de sauvegarde avant de lancer les opérations de chiffrement. Ils utilisent alors les données exfiltrées pour faire chanter les organisations, en menaçant de publier des informations sensibles sur Internet ou de les vendre à la concurrence si la rançon n’est pas payée.

Les variants modernes de ransomwares recherchent également les entrepôts de données dans le cloud comme Box, Dropbox et autres services.

Bon nombre de ces incidents ne parviennent pas aux oreilles du public, car la loi n’oblige pas nécessairement les entreprises à dévoiler les vols de propriété intellectuelle. Toutefois, dans le cas des données relatives aux clients, les organisations ont l’obligation légale de divulguer l’incident et subissent généralement des amendes supplémentaires pour non-conformité, amendes dont les montants sont de plus en plus élevés (Marriot, 23,8 millions de dollars ; British Airways, 26 millions de dollars ; Equifax, 575 millions de dollars). À cela s’ajoutent les dégâts sur la réputation de l’entreprise lorsqu’elle informe ses clients qu’une fuite de données a eu lieu.

Outils traditionnels : toujours la même histoire

Si vous avez bien suivi, vous n’allez pas être surpris par ce qui suit : pour stopper un ransomware lors de cette étape, la plupart des outils de défense s’appuient soit sur des définitions préétablies de ce qui est indésirable, soit sur des règles développées pour combattre des scénarios prédéfinis. Les organisations se retrouvent ainsi dans un jeu sans fin du chat et de la souris.

Un pare-feu et un proxy peuvent bloquer les connexions en s’appuyant sur des règles préétablies et en se basant sur des endpoints ou des volumes de données spécifiques, mais il est probable qu’un cybercriminel préférera utiliser les méthodes « Living off the Land » en ayant recours à un service généralement autorisé par l’entreprise.

L’efficacité de ces outils varie selon les volumes de données : ils peuvent être efficaces pour repousser les attaques opportunistes et brutales qui utilisent des malwares connus et ne se camouflent pas, mais ils ont peu de chances de détecter les souches discrètes et lentes inédites ou sophistiquées ayant pour but d’exfiltrer des données précises.

En revanche, l’exfiltration discrète et lente de données constitue par nature une divergence par rapport au comportement attendu ; ainsi, elle est détectée par Darktrace et stoppée par la Réponse Autonome. Aucun fichier confidentiel n’est perdu et les cybercriminels ne sont pas en mesure d’exiger le versement d’une rançon.

Exemple de situation réelle : série inhabituelle de connexions RDP

Il est de plus en plus difficile de trouver des exemples de situations où Antigena stoppe un ransomware lors de ces étapes finales, car la menace est généralement contenue avant de parvenir à ce stade. C’est tout le problème d’une solution de sécurité efficace : la neutralisation précoce des menaces ne permet pas de raconter des histoires haletantes ! Malgré tout, nous pouvons parler des effets d’une attaque par ransomware de double extension sur une entreprise du secteur de l’énergie au Canada. Cette organisation avait installé l’Enterprise Immune System, mais pas Antigena. Comme personne ne supervisait activement les détections de l’IA de Darktrace, l’attaque a réussi à se déployer.

L’attaquant est parvenu à se connecter à un serveur de fichiers internes et à télécharger 1,95 To de données. Darktrace a également observé que la machine téléchargeait le logiciel Rclone, un logiciel open source probablement utilisé pour synchroniser automatiquement les données avec le service de stockage de fichiers légitime pCloud. Une fois l’exfiltration de données terminée, la machine « serverps » a enfin commencé à chiffrer des fichiers sur 12 machines à l’aide de l’extension *.06d79000. Comme dans la majorité des incidents liés à des ransomwares, le chiffrement s’est produit en dehors des heures de bureau, pendant la nuit, pour réduire au minimum les chances que l’équipe de sécurité réagisse rapidement.

Découvrez tous les détails de l’attaque

Notons que l’ordre exact des étapes 3 à 5 ci-dessus n’est pas gravé dans le marbre et peut varier en fonction de l’attaque. Parfois, les données sont exfiltrées, mais il ne se produit plus aucune activité supplémentaire de déplacement latéral ou de balisage C2. On appelle cette période « durée de temporisation ». Parfois, elle ne dure que quelques jours. Dans certains cas, les attaquants restent dans cet état pendant des mois : ils glanent davantage d’informations et exfiltrent les données de façon discrète et lente, de sorte à échapper à toute détection de la part des outils basés sur des règles, configurés pour signaler uniquement les transferts de données dont le volume dépasse un certain seuil. Seule une compréhension globale de l’activité malveillante sur toute la période permet à la technologie de détecter ce niveau d’activité. Alors, l’équipe de sécurité peut éliminer la menace avant qu’elle n’atteigne les étapes finales et dévastatrices du ransomware.

6. Chiffrement des données

Qu’il s’agisse d’utiliser un chiffrement symétrique, asymétrique ou une combinaison des deux méthodes, les attaquants cherchent à rendre inutilisables autant de données que possible sur le réseau de l’organisation avant la détection de l’attaque.

Comme les cybercriminels sont les seuls à avoir accès aux clés de déchiffrement correspondantes, ils contrôlent totalement le destin des données de l’entreprise.

Réponse préprogrammée et perturbation de l’activité

Plusieurs familles d’outils prétendent neutraliser ce type de chiffrement, mais chaque technologie possède des angles morts qui permettent à un attaquant sophistiqué d’échapper à la détection lors de cette étape cruciale. Leur intervention entraîne souvent une forte perturbation de l’activité, voire un arrêt total des opérations.

Les pare-feu internes empêchent les clients d’accéder aux serveurs ; ainsi, lorsqu’un attaquant a réussi à accéder aux serveurs en utilisant l’une des techniques ci-dessus, il est libre d’agir comme bon lui semble.

De même, les antivirus ne recherchent que les malwares connus. Si le malware n’a pas encore été détecté, Il est peu probable que l’antivirus serve à quelque chose ici.

Neutralisation autonome du chiffrement

Même si le chiffrement exploite des outils et des méthodes autorisés par l’entreprise, la Réponse Autonome peut appliquer le « modèle comportemental normal » des machines responsables du chiffrement, sans utiliser de règles ni de signatures statiques. Cette action peut être mise en œuvre indépendamment ou en s’appuyant sur des intégrations avec les contrôles de sécurité natifs, ce qui maximise le retour sur investissement de la pile de sécurité. Avec une Réponse Autonome ciblée, l’activité normale de l’entreprise peut se poursuivre alors que le chiffrement est neutralisé.

7. Demande de rançon

Il est important de souligner que, dans les phases qui précèdent le chiffrement des données, l’attaque n’est pas encore un ransomware à proprement parler. C’est seulement au moment du chiffrement qu’elle le devient.

Une demande de rançon est déployée. Les attaquants exigent le paiement d’une rançon en échange d’une clef de déchiffrement. Ils menacent également de publier les données sensibles exfiltrées. L’organisation doit choisir de payer la rançon ou de perdre ses données, qui peuvent être divulguées au public ou à la concurrence. La rançon moyenne demandée par les cybercriminels atteignait 5,3 millions de dollars en 2021. L’entreprise de transformation de viande JBS a versé 11 millions de dollars et DarkSide a reçu plus de 90 millions de dollars en bitcoin à la suite de l’incident Colonial Pipeline.

Toutes les étapes qui précèdent sont typiques d’une attaque traditionnelle par ransomware. Cependant, les ransomwares évoluent : au lieu d’un simple chiffrement de machines, certains attaquants cherchent à perturber l’entreprise dans son ensemble en utilisant différentes techniques pour faire chanter leurs victimes. Les nouvelles méthodes d’extorsion incluent non seulement l’exfiltration de données, mais aussi le piratage de domaine, la suppression ou le chiffrement des systèmes de sauvegarde, des attaques menées contre les systèmes proches des ICS, le piratage de profils importants au sein de l’entreprise, etc.

Parfois, les attaquants passent directement de la phase 2 à la phase 6 en lançant immédiatement les opérations d’extorsion. Darktrace a récemment stoppé une attaque par e-mail au cours de laquelle l’attaquant avait fait l’impasse sur tout le travail préparatoire et envoyé directement une demande de rançon. Il prétendait avoir compromis les données sensibles de l’entreprise et exigeait un paiement en bitcoin en échange des données. Fondée ou non, cette attaque montre que le chiffrement n’est pas toujours nécessaire pour extorquer les victimes, et ce type de harcèlement peut prendre différentes formes.

Thu Nov 11 2021, 03:11:57
Here is your last warning! Your information has been compromised...
Ember Weston <[email protected]>
Andy Bird <[email protected]>
100%
Held
Extortion
New Contact
Hold message
Anomaly Indicators

The email contains suspicious references to bitcoin cryptocurrency and was held from the user’s inbox. The high inducement score suggests an attempt to extort the user into making a payment.

Figure 6 : Darktrace retient l’e-mail malveillant, protège le destinataire et toute l’organisation

Comme dans le cas de l’e-mail cité en exemple dans le premier article de cette série, Antigena Email est intervenu pour bloquer l’e-mail, là où les autres outils de messagerie l’auraient laissé passer. La solution a ainsi neutralisé cette tentative d’extorsion qui aurait pu coûter cher.

Que la méthode utilisée soit le chiffrement de données ou toute autre forme de chantage, le message est toujours le même : payez, sinon, gare à vous. À ce stade, il est trop tard pour mettre en œuvre les solutions décrites ci-dessus, qui auraient stoppé l’attaque lors des étapes préalables. Il ne reste qu’un seul dilemme. Payer ou ne pas payer, telle est la question.

Bien souvent, on imagine que les problèmes d'argent s’arrêtent au versement de la rançon. Malheureusement, ce n’est qu’un début...

8. Nettoyage

L’organisation doit ensuite sécuriser les vulnérabilités qui ont permis à l’attaque de se produire : il faut savoir qu’environ 80 % des victimes de ransomware sont à nouveau prises pour cibles par la suite.

Les outils traditionnels ne permettent pas de faire la lumière sur les vulnérabilités à l’origine de la faille initiale. C’est comme chercher une aiguille dans une botte de foin infinie : les équipes de sécurité auront du mal à trouver des informations pertinentes dans les rapports limités fournis par les pare-feu et les IDS. Les antivirus peuvent fournir des informations sur les malwares connus, mais ils sont incapables de détecter les attaques inédites.

Avec le Cyber AI Analyst de Darktrace, les organisations bénéficient d’une visibilité totale sur chaque étape de l’attaque. Les rapports fournis couvrent tous les secteurs de l’environnement numérique et font la lumière sur les attaques par ransomware. Il est également possible de voir les actions qui auraient été mises en œuvre par la Réponse Autonome pour stopper l’attaque.

9. Reprise de l’activité

L’organisation cherche ensuite à remettre en ordre son environnement numérique. Même si elle a payé pour obtenir une clef de déchiffrement, beaucoup de fichiers sont encore chiffrés ou corrompus. Au-delà des sommes acquittées pour la rançon elle-même, les coupures réseau, l’arrêt des opérations, les efforts de neutralisation et la gestion des relations publiques engendrent de lourdes pertes financières.

L’organisation victime de l’attaque peut aussi subir de graves conséquences en termes de réputation : 66 % des victimes rapportent une perte importante de chiffre d’affaires à la suite d’une attaque par ransomware, et 32 % d’entre elles indiquent avoir perdu un cadre dirigeant dans le sillage de l’incident.

Conclusion

Même si les étapes générales décrites ci-dessus sont communes à la plupart des attaques par ransomware, on constate que chaque ransomware revêt une forme différente dès lors qu’on s’intéresse aux petits détails.

De nombreuses attaques ciblées par ransomware passent par différentes méthodes affiliées ; ainsi, les outils, techniques et procédures (TTP) observés lors des intrusions varient fortement, même lorsque la même souche de ransomware est utilisée. Cela signifie que, pour deux attaques utilisant la même famille de ransomware, on trouvera probablement des TTP radicalement différentes. C’est pourquoi il est impossible de prédire la forme que prendront les ransomwares de demain.

Ce constat sonne le glas des outils traditionnels, basés sur les données d’attaques passées. Les exemples ci-dessus prouvent que la technologie auto-apprenante et la Réponse Autonome constituent la seule solution capable de stopper les ransomwares à chaque étape, dans la messagerie comme sur le réseau.

Dan Fein

Based in New York, Dan joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.