Ransomware à double extorsion : une menace en pleine expansion

Finie l’époque où les attaquants devaient passer au crible des centaines de lignes de code pour réussir à infiltrer un réseau. Plus besoin de compromettre vos systèmes. Il leur suffit de se connecter à votre environnement comme le ferait n’importe quel autre utilisateur.

Pour ce faire, ils peuvent utiliser l’une des 24 millions de combinaisons nom d’utilisateur/mot de passe disponibles sur le dark web. Ces identifiants piratés, mais bel et bien légitimes, permettent aux attaquants de se connecter à vos systèmes et de s’y déplacer latéralement pour accéder à vos data stores. Toutes les entreprises sont concernées, quelle que soit leur taille. Plus problématique encore, les attaques de ce type échappent souvent aux outils de détection.

Une fois infiltrés dans un système, les attaquants utilisent souvent la technique de la double extorsion, un type d’attaque de ransomware en hausse de 120 % l’an dernier. Lors de cette offensive en deux temps, l’attaquant chiffre les données puis procède à leur exfiltration. Il dispose ainsi d’un levier de pression supplémentaire sur sa victime.

Jusqu’à récemment, les cybercriminels se contentaient de chiffrer les données à forte valeur et d’exiger une rançon en échange de la clé de chiffrement. Si une équipe IT ou de sécurité avait réalisé une sauvegarde des données, il lui suffisait de restaurer celle-ci. La double extorsion fonctionne différemment : non contents de détruire les données stockées dans vos systèmes, les attaquants les exfiltrent et vous menacent de les vendre ou de les rendre publiques. Dans ces situations, une simple sauvegarde ne suffira pas à vous tirer d’affaire.

La protection des données contre les attaques à double extorsion requiert une approche double axée sur la cyber-résilience. En plus des mesures préventives visant à protéger votre entreprise contre l’inévitable, vos équipes de sécurité et de gouvernance des données doivent impérativement mettre en place une stratégie de résilience et de restauration.

Qu’est-ce qu’une attaque de ransomware à double extorsion ?

Il s’agit d’un type de cyber-menace particulièrement redoutable. Alors que les auteurs des attaques de ransomware classiques se contentent de chiffrer les données de leurs victimes, le danger monte d’un cran avec les attaques à double extorsion. Car après avoir chiffré les données, les cybercriminels procèdent à leur exfiltration, faisant ainsi peser sur leurs victimes une pression supplémentaire pour les obliger à payer la rançon. Pour les entreprises de tous les secteurs, la menace est considérable. Les voilà en effet exposées à un double risque : perdre l’accès à des données d’une importance cruciale, et voir leurs informations confidentielles exposées sur la place publique.

Une organisation sur deux a subi des pertes de données dues à des attaques à double extorsion ou autres menaces du même type.

La mécanique de l’attaque

Parce qu’elles regroupent deux menaces en une seule offensive, ces attaques font peser un risque accru sur les entreprises qui en sont victimes. Dans un premier temps, les attaquants infiltrent le réseau à l’aide de techniques allant du phishing à l’attaque par force brute.

Une fois introduits, ils n’activent pas immédiatement le ransomware de chiffrement des fichiers. Ils commencent d’abord par exfiltrer du réseau les données cruciales de leur victime. Il peut s’agir de données sensibles, comme les dossiers clients, les informations financières, la propriété intellectuelle, etc.

Les attaquants passent ensuite à la seconde phase de l’attaque : le chiffrement, qui empêchera l’entreprise d’accéder à ses propres données.

La victime est prise entre deux feux. Elle doit à la fois récupérer l’accès à ses données chiffrées, et empêcher que les données exfiltrées ne soient exposées, vendues sur le dark web ou utilisées à mauvais escient. La rançon (à verser le plus souvent en cryptomonnaie) est le prix à payer pour obtenir la clé de chiffrement d’une part, et de l’autre la promesse que les données ne seront pas rendues publiques.

C’est parce qu’elles combinent ces deux menaces que ces attaques sont dites « à double extorsion ». Et c’est également ce qui les rend si redoutables.

L’impact des attaques de ransomware à double extorsion à l’ère du cloud

Chaque jour, une entreprise type génère une quantité massive de données précieuses, réparties entre différents services, emplacements, environnements cloud et applications SaaS. Démocratisation des données oblige, les organisations s’efforcent de rendre leurs données accessibles à tous les utilisateurs qui en ont besoin, sans oublier leurs fournisseurs et prestataires tiers.

Face à l’essor de la data et du cloud, les équipes IT et de sécurité ont de plus en plus de mal à surveiller toutes les données du réseau. En plus de créer toujours plus de data stores, les développeurs et les data scientists déplacent, modifient et copient en permanence les données sensibles – généralement à l’insu des équipes IT et de sécurité. Résultat : les utilisateurs dispersent ces données dans différents entrepôts (le plus souvent accidentellement), et n’importe qui ou presque peut y accéder.

L’écosystème cloud en constante évolution élargit considérablement la surface d’attaque de l’entreprise, donnant aux attaquants le champ libre pour lancer leurs attaques à double extorsion. Ils peuvent détourner les identifiants utilisateurs ou infiltrer les data stores pour exploiter les données sensibles de l’organisation, mais aussi ses données inconnues ou « fantômes », aussi appelées Shadow Data. Une attaque réussie peut s’avérer lourde de conséquences pour la victime, sur le plan financier et juridique, sans parler du préjudice réputationnel.

Comme le révèle l’étude « Ransomware in Focus » de Rubrik, les RSSI ont de bonnes raisons de craindre les attaques de ransomware à double extorsion :

  • Exposition des données sensibles

  • Coût de la restauration des données et de la reprise des opérations après un incident

  • Pertes financières dues aux perturbations des activités

  • Atteintes potentielles à l’image de marque

Du fait de leur impact considérable sur l’entreprise, les attaques de ransomware sont les plus redoutables aux yeux des RSSI.

Changer de paradigme : de la cyber-prévention à la cyber-résilience

La réponse aux attaques de ransomware à double extorsion exige une nouvelle stratégie.

En matière de cybersécurité, les approches traditionnelles reposent essentiellement sur des mesures préventives : corriger les anomalies, les vulnérabilités et les erreurs de configuration, et empêcher l’accès au réseau par les utilisateurs non autorisés. Mais aujourd’hui, les attaquants profitent généralement des petites erreurs passées inaperçues dans les environnements cloud éphémères.

Il s’agira par exemple d’un collaborateur ayant accès à des données sensibles, qui tombe dans le piège du phishing et dévoile ses identifiants. Ou d’un développeur qui copie des informations confidentielles dans un bucket S3 public pour effectuer une tâche, puis qui oublie de les supprimer ensuite. Une brèche dans laquelle les attaquants ont vite fait de s’engouffrer.

Il ne suffit plus d’empêcher les cybercriminels d’infiltrer votre système. Les entreprises doivent comprendre qu’un incident de sécurité est inévitable, et se préparer en conséquence. Il leur faut donc établir un plan d’action pour protéger leurs données, mais également pour restaurer leurs opérations dans les meilleurs délais.

« Il est important de recadrer le discours : aussi essentielle que soit la prévention, elle ne constitue pas un plan suffisant. L’heure est à la mise en place d’une cyber-défense stratégique qui tient compte du caractère inévitable des attaques. » Bipul Sinha, CEO de Rubrik

Une approche plurielle de la cyber-résilience

Pour se protéger efficacement contre les attaques à double extorsion, rien ne vaut une approche multiforme : vous devez, d’une part, anticiper l’effacement de vos données par les cybercriminels grâce à des capacités avancées de protection des données et de cyber-restauration et, d’autre part, empêcher leur exfiltration au moyen d’une solution de gestion de la posture de sécurité des données (DSPM).

Rubrik Security Cloud garantit la protection et la restauration des données grâce à des sauvegardes air-gap immuables sous accès contrôlé, et exécute des workflows de restauration en cas d’attaque réussie. La solution DSPM de Laminar, filiale de Rubrik, assure quant à elle l’application des bonnes pratiques de sécurité des données, la détection des menaces et l’observabilité des données. La plateforme Laminar peut vous aider à :

  1. Éliminer les doublons : Laminar identifie et supprime les données en double exemplaire dans vos systèmes. Cette opération limite les risques de compromissions en réduisant votre surface d’attaque et la quantité de données sensibles à surveiller et à protéger.

  2. Appliquer le principe du moindre de privilège via une politique de gouvernance de l’accès aux données (DAG) : il s’agit d’une approche indispensable pour réduire les risques associés aux autorisations trop permissives. La DAG réduit l’exposition et limite l’impact des compromissions de données en contrôlant l’accès aux données sensibles par les utilisateurs et les appareils, conformément au principe du moindre privilège. Vous avez ainsi la garantie que vos utilisateurs et vos systèmes bénéficient uniquement des autorisations nécessaires à leurs tâches.

  3. Limiter les dommages grâce aux capacités de détection des données et de réponse à incident (DDR) : dotée de fonctionnalités avancées, la plateforme de Laminar identifie les menaces potentielles pour vos données (accès inhabituels, activités suspectes, etc.). Avec l’approche DDR, les entreprises sont alertées en temps réel des risques de compromission. Elles ont ainsi toutes les cartes en main pour endiguer rapidement les menaces et limiter les dégâts potentiels.

Rubrik et Laminar unissent leurs forces pour aider les organisations comme la vôtre à répondre aux attaques en temps réel et à reprendre leurs activités dans les meilleurs délais.

Prêts à faire passer votre cyber-résilience au niveau supérieur ?

Notre solution DSPM vous fait bénéficier d’une cyber-résilience proactive et assure la protection de vos données sensibles. Découvrez comment.