La recherche de Rapid7 révèle quels groupes de rançongiciels de données recherchent et utilisent pour tirer parti

0 0

La recherche de Rapid7 révèle quels groupes de rançongiciels de données recherchent et utilisent pour tirer parti

En ce qui concerne les attaques de ransomwares, certaines données sont plus précieuses que d’autres pour les groupes de ransomwares. Une nouvelle étude de Rapid7, Points faibles : Tendances de divulgation des données des ransomwaresfournit des informations sur les données que les groupes de rançongiciels apprécient et sur la manière dont ils utilisent les données pour exercer une pression.

La recherche de Rapid7 révèle quels groupes de rançongiciels de données recherchent et utilisent pour tirer parti
crédit image : Rapide7

Les attaques de double extorsion se sont multipliées ces dernières années. Les attaques de ransomware traditionnelles chiffrent les données sur les systèmes attaqués pour extorquer de l’argent aux entreprises et aux particuliers. L’augmentation des contre-mesures, y compris l’utilisation de sauvegardes, a réduit l’efficacité des attaques de rançongiciels traditionnels.

Si des sauvegardes de données sont disponibles, les entreprises pourraient les utiliser pour restaurer les données sans avoir à payer de rançon. Sans effet de levier supplémentaire, les groupes de rançongiciels se retrouveraient les mains vides après l’attaque.

Les attaques de double extorsion combinent l’étape de cryptage avec une autre étape, qui se produit avant que les données ne soient cryptées. Des groupes analysent des fichiers et des documents sur le réseau attaqué pour voler des données. Les données sont toujours prises en otage, car elles sont cryptées dans la deuxième étape, mais les données volées peuvent être utilisées comme levier dans les négociations sur les ransomwares. Les groupes de rançongiciels peuvent menacer de divulguer les données au public ou de les vendre aux parties intéressées. Si les négociations échouent, les données peuvent être vendues sur le dark web.

Des études sur les rançongiciels sont fréquemment publiées. Nous en avons couvert deux ici sur Ghacks au cours des deux derniers mois seulement. Le premier confirme que les attaques de rançongiciels et les paiements de rançon augmentent. La seconde, que le paiement de la rançon est marginal par rapport aux coûts globaux des attaques de rançongiciels.

Divulgation des données des rançongiciels

Rapid7 a analysé 161 divulgations de données entre avril 2020 et février 2022. De nombreuses attaques de ransomwares se produisent au cours de jours, de semaines ou même de mois. Le laps de temps donne aux attaquants le temps de collecter et d’exfiltrer les données des réseaux compromis avant d’exécuter des tâches de chiffrement.

Certaines données sont plus précieuses que d’autres pour les groupes de rançongiciels. Les données qui peuvent être utilisées comme levier, par exemple les dossiers des patients, les documents financiers ou les fichiers de propriété intellectuelle, ont en moyenne plus de valeur que les autres types de données que les attaquants peuvent découvrir lors d’attaques.

Les données extraites sont utilisées de diverses manières par les groupes de rançongiciels. Outre les utilisations évidentes pour obtenir un accès encore plus profond au réseau de l’organisation, les données exfiltrées peuvent également être utilisées comme levier, ou vendues sur les marchés du dark web si les négociations de ransomware échouent.

Le temps supplémentaire que les attaquants passent sur un réseau donne aux entreprises la possibilité de détecter la compromission avant que les données ne soient entièrement chiffrées.

Les divulgations de données de ransomware se produisent en deux étapes :

  • Étape 1 : Un échantillon des données volées est présenté à l’organisation ; ceci est fait pour améliorer la crédibilité et comme effet de levier, car d’autres divulgations de données peuvent s’avérer préjudiciables à l’organisation. Les données ne sont fournies à l’organisation qu’en règle générale, mais elles peuvent également être publiées publiquement sur Internet.
  • Étape 2 : Les données sont vendues ou publiées, si les négociations avec la victime ont été infructueuses.

Rapid7 note dans l’analyse que les divulgations de données sont des indicateurs des tendances générales des ransomwares. Les chercheurs de l’entreprise ont pu déterminer ce qui suit sur la base de l’analyse des 161 divulgations de données :

  • Les types d’attaquants de données les plus courants divulgués
  • Comment les divulgations de données diffèrent entre les industries et les groupes d’acteurs menaçants.
  • Part de marché actuelle des rançongiciels parmi les acteurs de la menace.

Ensembles de données dans les divulgations de données de ransomware

Toutes les données n’ont pas la même importance pour les organisations, et la divulgation des données peut varier considérablement d’un secteur à l’autre. Les données des clients et des patients dans les attaques de services financiers, les informations financières et comptables dans les attaques de soins de santé et pharmaceutiques, et les informations personnelles et RH des employés dans les services financiers ont été les plus considérées.

Notamment, les données de propriété intellectuelle ont été utilisées dans 43 % des divulgations pharmaceutiques. Pour toutes les industries, les informations financières et comptables ont été les plus utilisées, suivies des données clients et patients, et des données PII et RH des employés.

Les divulgations de données clients ont dominé le secteur des services financiers, suivi des données PII et RH des employés, et des documents financiers et comptables internes. L’accent mis sur les données client suggère que les données client sont souvent plus précieuses pour les groupes de rançongiciels que d’autres types de données. Rapid7 suggère que la menace de divulgation des données client est souvent puissante, car elle pourrait affecter la perception publique de l’organisation.

Les dossiers financiers et comptables internes ont été divulgués le plus souvent dans les secteurs de la santé et de la pharmacie, et non dans le secteur financier. Les données des clients et des patients ont été divulguées dans plus de 50 % des cas, mais pas autant que dans les services financiers.

La fréquence élevée avec laquelle les données des clients et des patients apparaissent dans ces divulgations suggère que les attaquants visent à exercer une plus grande pression sur les victimes avec : a) les conséquences juridiques et réglementaires plus graves des violations des données des patients pour les hôpitaux et autres prestataires de soins de santé et ; b) la plus grande utilité des ensembles de données patient plus détaillés et granulaires pour les criminels pour le vol d’identité et d’autres formes de fraude.

Les divulgations du secteur pharmaceutique avaient une fréquence élevée de dossiers de propriété intellectuelle. Les sociétés pharmaceutiques « dépendent fortement d’importants investissements dans la propriété intellectuelle », ce qui rend ces données divulguées précieuses pour les acteurs de la menace. Les divulgations de propriété intellectuelle n’étaient incluses que dans 12 % des divulgations de tous les échantillons.

Tendances des groupes d’acteurs menaçants

groupes de rançongiciels
crédit image : Rapide7

Les groupes d’acteurs menaçants utilisent différentes stratégies lorsqu’il s’agit d’attaques de double extorsion. Certaines des différences peuvent s’expliquer par les données que les attaquants ont découvertes lors des attaques. Si un certain type de données n’est pas trouvé ou ne peut pas être exfiltré, d’autres données peuvent avoir été utilisées à la place comme levier.

Les quatre principaux groupes de l’analyse ont utilisé différents types de données dans les divulgations. Les données financières et de compte ont été divulguées à 100% par le groupe Darkside, mais seulement 30% du temps par CI0p. De même, Darkside a divulgué les ventes et le marketing, ainsi que les données Pii et RH des employés 67 % du temps, tandis que les autres groupes n’ont divulgué que 27 % ou 30 % du temps.

Recommandations et suggestions de Rapid7

De plus en plus d’organisations utilisent des sauvegardes pour contrer les attaques traditionnelles de ransomwares. Les sauvegardes aident, mais elles ne sont pas efficaces à 100 % en elles-mêmes lorsqu’il s’agit d’attaques de double extorsion. Pour contrer les attaques à double distorsion, Rapdi7 suggère que les organisations utilisent le cryptage des fichiers, segmentent les réseaux d’entreprise et rendent « tous les fichiers illisibles aux yeux non autorisés ».

Le rapport peut aider les organisations à déterminer les actifs hautement prioritaires afin de mieux les protéger contre les attaques potentielles de ransomwares.

Laisser un commentaire

Votre adresse email ne sera pas publiée.

Abonnez-vous à notre newsletter
Inscrivez-vous ici pour recevoir les dernières nouvelles, mises à jour et offres spéciales directement dans votre boîte de réception.
Vous pouvez vous désabonner à tout moment

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More