Blog

Pourquoi la pandémie a été un catalyseur d'attaques de ransomwares et que faire pour y remédier – Bien installer son serveur

Le 16 avril 2021 , mis à jour le 4 septembre 2021 - 10 minutes de lecture

[bzkshopping keyword= »Minecraft » count= »8″ template= »grid »]

Ryan Weeks discute des résultats d'une étude récente qui examine les tendances des ransomwares et fournit des conseils pour aider les organisations à se défendre et à répondre à de telles attaques.

En raison de la pandémie et du transfert ultérieur de la charge de travail vers le cloud, nous continuons d'assister à une augmentation du nombre d'attaques de ransomwares et des dommages qu'elles causent aux entreprises du monde entier. Une enquête récente menée par Datto a confirmé l'augmentation des attaques – 42% des fournisseurs de services gérés (MSP) européens signalant que le télétravail dû au COVID-19 a entraîné plusieurs incidents de ransomware. L'étude a également révélé que l'augmentation des problèmes de sécurité est le résultat direct de l'adoption rapide des applications cloud, ainsi que d'un nombre record de travailleurs à distance pendant le verrouillage.

Le rapport Global State of the Channel sur les ransomwares de Datto a été réalisé chaque année et a également révélé l'impact croissant des ransomwares sur les entreprises à un moment où de nombreuses organisations avaient du mal à s'adapter à l'incertitude unique causée par la pandémie. Au cours de la même période, la rançon moyenne est restée à peu près la même année auparavant, mais le coût des temps d'arrêt du système et des activités associés aux incidents de ransomware a continué d'augmenter – presque doublé depuis 2019. En moyenne, ce nombre est maintenant 50 fois plus élevé que la rançon elle-même – passant de 46 800 $ à 274 200 $ au cours des deux dernières années – ce qui signifie que de nombreuses petites entreprises auraient du mal à survivre à une attaque majeure de ransomware.

Les ransomwares restent la principale menace des logiciels malveillants

En tant que menace de cybersécurité la plus courante pour les PME, plus de 75% des répondants MSP ont déclaré que leurs clients PME avaient été affectés par des ransomwares au cours des deux dernières années, 60% déclarant que leurs clients avaient été affectés au cours du premier semestre 2020. L'enquête a révélé également que les PME n'étaient pas les seules cibles des cyberattaques.

Les cybercriminels ciblent de plus en plus les MSP eux-mêmes, et 95% des MSP ont déclaré qu'ils pensaient que leur propre entreprise était plus vulnérable. Très probablement en raison de la sophistication et de la complexité croissantes des attaques de ransomwares, près de la moitié des MSP s'associent désormais à des fournisseurs de services de sécurité gérés spécialisés pour une assistance en matière de sécurité informatique. Ces partenariats ont un double objectif: aider les MSP à protéger leurs clients ainsi que leurs propres entreprises.

Comme indication de la prise de conscience croissante des menaces de rançon, la moitié des personnes interrogées par les MSP ont déclaré que leurs clients avaient augmenté leurs budgets de sécurité informatique d'ici 2020. Bien que les PME dépensent plus en sécurité, les ransomwares restent une menace viable et contournent les solutions antivirus telles que les e-mails, filtrage anti-malware basé sur le réseau et le Web. De plus, de nombreuses entreprises n'ont pas encore comblé les failles de sécurité de base qui rendent leur réseau vulnérable aux attaquants. Malheureusement, les utilisateurs sont généralement le maillon le plus faible de la sécurité d'une organisation et continuent d'être la principale cause des attaques de ransomwares réussies – hameçonnage (54%), mauvaise pratique des utilisateurs ou bonne foi (27%), manque de formation à la sécurité des utilisateurs finaux (26 pour cent), et des mots de passe et une administration d'accès faibles (21 pour cent).

Vecteurs d'attaque primaires

L'enquête Datto a également révélé les moyens les plus importants par lesquels les ransomwares attaquent les entreprises. Comme on l'a vu les années précédentes, les e-mails de phishing restent le point d'entrée le plus courant – avec plus de 50% des MSP signalant que les e-mails malveillants sont la tactique la plus efficace pour délivrer une rançon. Comme ces e-mails sont devenus plus difficiles à reconnaître, tels que la constitution de messages internes, ils continuent d'échapper à la défense. En outre, les tactiques de technologie sociale utilisées par les attaquants pour tromper les victimes sont devenues si sophistiquées que les e-mails de javelot ciblés sont désormais pratiquement impossibles à distinguer des e-mails légitimes.

En outre, les cybercriminels recueillent une abondance d'informations sur leurs victimes à partir de sources multiples, telles que des publications partagées sur les réseaux sociaux, de faux appels téléphoniques sur des études de marché et d'autres données facilement disponibles. Armé des informations personnelles collectées, l'attaquant pourrait créer des e-mails de logiciels espions à l'aide de faux sites d'authentification unique et masquer les URL de phishing Unicode, ce qui entraînerait un faux e-mail qui semble légitime.

Les applications cloud deviennent des cibles de plus en plus attractives

Le deuxième type d'attaque est le rançongiciel ciblé sur les applications SaaS (Software-as-a-Service). Près de 25% des MSP interrogés ont signalé des attaques de ransomware sur les applications SaaS de leurs clients, Microsoft 365 étant le plus durement touché (64%), suivi des attaques sur Dropbox (54%) et Google Workspace (25%). Pour contrer ces attaques, les entreprises ont besoin de plans de reprise et de continuité appropriés pour leurs plates-formes de collaboration.

L'étude s'est également penchée sur les systèmes d'extrémité les plus souvent ciblés sur les ransomwares. MSP a signalé que la majorité des attaques concernaient les PC Windows (91%), suivis de Windows Server (76%). Bien que les ransomwares puissent pénétrer sur un réseau via un e-mail de phishing, les logiciels malveillants balaient rapidement un réseau d'entreprise qui infecte d'autres systèmes. Pour minimiser les perturbations commerciales après une attaque, les entreprises ont besoin d'une solution de continuité d'activité capable de récupérer les charges de serveurs localement ou dans le cloud.

Préparez-vous et agissez pour réduire le risque

Alors que la capture dans le cloud continue de s'accélérer et que les cybercriminels cherchent des moyens d'affiner leurs méthodes d'attaque, la menace de rançon devrait s'intensifier et se développer davantage. Confirmé par l'enquête Datto, 92% des MSP prévoient que les attaques de ransomware se poursuivront avec des taux actuels ou pires.

Les organisations doivent préparer et mettre en œuvre des mesures pour renforcer les contrôles de sécurité. Alors que de nombreux travailleurs continuent de travailler à distance, les entreprises doivent faire tout ce qui est en leur pouvoir pour maintenir les normes de sécurité les plus élevées. Les stratégies comprennent la compréhension de la manière dont les employés se connectent au réseau de l'entreprise, la limitation de l'utilisation des appareils personnels à des fins professionnelles et l'utilisation d'appareils professionnels pour des activités personnelles. En outre, des défenses appropriées doivent être déployées sur les postes de travail et les VPN, ce qui oblige les entreprises à revoir les bases de la sécurité et les pratiques de mise à jour logicielle sur tous les points de terminaison. Pour supprimer l'un des points d'entrée les plus courants, les organisations doivent également encourager l'utilisation d'administrateurs de mots de passe sécurisés ou l'authentification à deux facteurs.

Enfin, les entreprises doivent améliorer la formation en cybersécurité des employés en allant au-delà de l'identification des e-mails de phishing les plus élémentaires. Chaque employé doit avoir une compréhension claire de sa responsabilité personnelle de prévenir les cyberattaques, qui comprend le respect de l'hygiène des mots de passe, ne pas ouvrir de liens ou de pièces jointes suspectes, ne pas publier d'informations sensibles sur les médias sociaux et signaler immédiatement les signes d'activité malveillante au service informatique. .

Développer une solide stratégie de continuité des affaires

Bien que les logiciels de sécurité et la formation soient essentiels pour prévenir les attaques avant qu'elles ne se produisent, une approche de sécurité à plusieurs niveaux et une solide stratégie de continuité des activités sont nécessaires en cas d'attaque. Pour lutter contre les rançons et reprendre les opérations normales le plus rapidement possible, les entreprises doivent mettre en place une continuité des activités et une reprise après sinistre.

Cette approche a été confirmée par les MSP interrogés, 91% déclarant que les clients disposant de telles solutions sont moins susceptibles de subir des temps d'arrêt prolongés lors d'une attaque. De plus, ré-imaginer une machine à partir d'une sauvegarde – au lieu de la reconstruire à partir de zéro – est désormais la méthode préférée de récupération des ransomwares, car elle est beaucoup plus rapide.

Qu'elles soient intentionnelles ou non, les menaces internes vont non seulement continuer, mais augmenter. Pour empêcher les employés de collaborer volontairement avec des pirates, les entreprises doivent identifier les employés les plus vulnérables. Si nécessaire, ils doivent augmenter la surveillance des points de terminaison des utilisateurs, abaisser le seuil de déclenchement des alertes de sécurité et surveiller de près le shadow IT pour comprendre où les données entrent et sortent de l'environnement.

Il est également recommandé aux entreprises de définir des contrôles autour des outils auxquels les employés ont accès, y compris les plates-formes de chat qui ne sont pas autorisées à être utilisées. La popularité des outils de collaboration pose également un risque car la plupart des utilisateurs supposent automatiquement que le contenu qu'ils reçoivent et partagent sur ces plates-formes est sécurisé.

La pandémie et ses pratiques de travail changeantes ont conduit à un certain nombre de nouveaux défis. Dans un premier temps, toute entreprise doit avoir une compréhension claire de sa position en matière de cybersécurité, de ses implications et de l'évolution des modèles de menaces. Avec une stratégie de sécurité solide en place qui renforce chaque couche de défense, les entreprises seront en mesure de s'adapter rapidement et, en fin de compte, de minimiser les dommages causés par les ransomwares et autres cybermenaces.

L'auteur

Ryan Weeks est RSSI à Datto.