Les ransomwares sont la menace de facto à laquelle les organisations ont été confrontées au cours des dernières années. Les acteurs de la menace gagnaient de l’argent facilement en exploitant la forte valorisation des crypto-monnaies et le manque de préparation adéquate de leurs victimes.
Pensez aux mauvaises politiques de sécurité, aux sauvegardes non testées, aux pratiques de gestion des correctifs qui ne sont pas à la hauteur, etc. Cela a entraîné une croissance facile de l’extorsion de logiciels de rançon, un crime que plusieurs acteurs de la menace à travers le monde commettent.
Quelque chose a changé, cependant. Les valorisations de la cryptographie ont chuté, réduisant l’attrait monétaire des attaques de ransomwares en raison du fait que les organisations mettent en place une formidable défense contre les ransomwares.
Les acteurs de la menace ont cherché une autre opportunité – et en ont trouvé une. C’est ce qu’on appelle l’exfiltration de données, ou exfil, un type d’espionnage qui cause des maux de tête aux organisations du monde entier. Nous allons jeter un coup d’oeil.
La menace de révéler des informations confidentielles
L’exfiltration d’informations devient rapidement plus répandue. Plus tôt cette année, des incidents chez Nvidia, Microsoft et plusieurs autres entreprises ont mis en évidence l’ampleur du problème et comment, pour certaines organisations, il peut s’agir d’une menace encore plus importante que les ransomwares.
Nvidia, par exemple, s’est retrouvée empêtrée dans un échange complexe de tit-for-tat avec le groupe de hackers Lapsus$. L’un des plus grands fabricants de puces au monde a été confronté à l’exposition publique du code source d’une technologie inestimable, car Lapsus $ a divulgué le code source de la recherche Deep Learning Super Sampling (DLSS) de la société.
Lorsqu’il s’agit d’extorsion d’exfil, les attaquants n’entrent pas dans le but principal de chiffrer un système et de provoquer des perturbations comme le fait un attaquant de ransomware. Cependant, oui, les attaquants peuvent toujours utiliser le cryptage pour couvrir leurs traces.
Au lieu de cela, les attaquants en mission d’exfiltration d’informations déplaceront de grandes quantités de données propriétaires vers des systèmes qu’ils contrôlent. Et voici le jeu : les attaquants procéderont à l’extorsion de la victime, menaçant de divulguer ces informations confidentielles dans la nature ou de les vendre à des tiers sans scrupules.
Exfil peut être beaucoup plus dommageable qu’un rançongiciel
Pour les victimes, il s’agit d’une menace sérieuse car les pirates peuvent acquérir les clés du coffre-fort. Les concurrents peuvent utiliser des secrets commerciaux pour produire des copies de produits ou contribuer à leurs efforts de R&D ou à des informations qui pourraient conduire à une catastrophe de relations publiques coûteuse.
Dans tous les cas, l’exposition publique des informations peut constituer une menace plus importante que les ransomwares, car la demande de ransomwares peut être résolue en payant (ou en récupérant des sauvegardes). Les fuites d’informations – eh bien – c’est quelque chose qui peut être irréparable. Il est facile de comprendre pourquoi les acteurs de la menace peuvent trouver que l’extorsion basée sur la fuite d’informations est une cible encore plus attrayante que le simple rançongiciel.
Il convient de noter qu’une partie de la motivation pour ce type d’attaque réside également dans l’état actuel des affaires mondiales qui a créé une forte demande de transfert de propriété intellectuelle à travers des lignes géopolitiques opposées. Il y a aussi sans doute une plus grande indulgence envers les acteurs qui attaquent « l’autre côté », même lorsque les systèmes judiciaires locaux considèrent l’attaque comme un crime.
Pour le long terme
Il y a un autre thème qui émerge dans l’espace exfil. Il est intéressant de noter une chose que les équipes de cybersécurité savent depuis longtemps : pour les acteurs malveillants, il est avantageux pour un attaquant de rester non détecté pendant une période prolongée.
Rester silencieux, plutôt que d’afficher des messages « vous avez été piraté » sur les écrans d’ordinateur, permet aux attaquants de « voir » plus de flux d’informations sur le réseau et de faire une reconnaissance plus approfondie des systèmes après y avoir pénétré.
Plus de temps sur le réseau signifie que les attaquants peuvent identifier des cibles plus souhaitables qu’un simple déploiement de ransomware. Les acteurs de la menace patiente pourraient faire beaucoup plus de mal ; s’ils ne sont pas détectés.
Les mesures de protection fonctionnent toujours
Que peuvent faire les organisations pour se prémunir contre l’extorsion ? Eh bien, les mêmes principes de cybersécurité continuent de compter, d’autant plus compte tenu du risque accru.
Après tant d’années de gros titres alarmants, la plupart des organisations ont déployé une protection contre les ransomwares sous la forme de meilleures stratégies de sauvegarde, d’un accès aux données plus précis et granulaire, et de meilleures règles et surveillance pour détecter les modifications de fichiers indésirables.
Cela a rendu les attaques de ransomwares plus difficiles, agissant souvent comme un moyen de dissuasion contre les attaquants cherchant simplement des cibles faciles. La protection contre les infections par des logiciels malveillants ou l’exfiltration d’informations commence par une bonne maintenance de l’infrastructure.
Le patching transparent reste au cœur
Cela inclut la mise à jour des systèmes avec les derniers correctifs. Il ne s’agit pas seulement d’une protection contre les ransomwares, bien sûr : les systèmes corrigés ferment également les chemins faciles vers les informations commerciales critiques afin que les acteurs de la menace ne soient pas en mesure de siphonner les informations commerciales critiques.
Supposons que votre organisation s’appuie toujours sur des opérations de correctifs qui impliquent des fenêtres de maintenance. Dans ce cas, il convient de déterminer si les correctifs sont appliqués assez rapidement pour protéger votre organisation contre les menaces d’exfiltration d’informations.
Vous ne pouvez pas patcher assez vite ? Jeter un coup d’œil à correction en direct. Entreprise KernelCare de TuxCare vous aide à rester immédiatement protégé contre les menaces émergentes, avec peu de décalage entre l’émergence et l’atténuation des menaces. Avec un ajout simple et abordable à votre arsenal de cybersécurité, vous pouvez mettre en place la ligne de défense la plus simple et la plus importante contre les attaquants qui cherchent à vous retenir contre une rançon.