Posté le février 3, 2022 à 9:21
LES CHERCHEURS PRÉVIENNENT QUE DE PLUS EN PLUS D’ORGANISATIONS SONT ATTAQUÉES PAR LE BIAIS DE DONNÉES TECHNOLOGIQUES OPÉRATIONNELLES
Alors que la technologie ne cesse d’évoluer, les groupes de ransomware ne cessent de développer et d’améliorer leurs outils d’attaque pour exploiter plus efficacement les organisations. Dans le passé, les acteurs de menaces utilisaient des outils de cryptage de base pour refuser l’accès et demander une rançon. Mais ils ont désormais dépassé ce stade, passant à quelque chose de bien plus sévère.
Initialement, les ransomwares étaient utilisés pour implanter des bugs dans les systèmes afin d’extorquer des paiements de chantage au grand public. Ces paiements sont généralement effectués en bitcoin ou dans d’autres crypto-monnaies. Cependant, les acteurs de menaces sont devenus plus sophistiqués, lançant des attaques plus sévères sur des cibles de grande valeur pour des paiements plus importants. Ils cherchent à infecter des organisations critiques qui fournissent des services vitaux au public. Ils sont désormais plus conformes pour attaquer les grandes entreprises, les hôpitaux, les services publics et les principaux acteurs de la chaîne d’approvisionnement.
Les attaquants sont plus patients pour développer un outil très technique qui peut être utilisé pour lancer des campagnes de ransomware sur de plus grandes organisations. Bien qu’il faille un peu plus de temps pour pénétrer les réseaux de ces grandes organisations, une fois qu’elles y parviennent, les attaques peuvent espérer toucher des millions de dollars.
L’attaque contre Colonial Pipelines, l’une des cyberattaques les plus sophistiquées de l’histoire, est un exemple de l’efficacité des acteurs de menaces. Le groupe de ransomware a détourné les systèmes de l’entreprise, affectant l’approvisionnement en carburant aux États-Unis.
Colonial Pipeline n’a eu d’autre choix que de succomber à la demande de rançon des attaquants. La société a fini par payer 4,4 millions de dollars pour restaurer ses systèmes et continuer à servir le public. Cependant, le mal était déjà fait avant la restauration car elle a entraîné des pénuries de carburant et des achats de panique dans tous les États-Unis.
Les gangs de ransomware deviennent plus sophistiqués
Les gangs de ransomware développent également davantage d’outils qu’ils peuvent utiliser pour accéder à des systèmes complexes. Selon Cisco Secure, les hackers utilisent désormais la méthode d’extorsion « one-two-punch » pour voler des données confidentielles avant de les crypter. Après avoir caché les fichiers au propriétaire, ils continuent en demandant une rançon ou en rendant le fichier public si la victime refuse de répondre à leurs exigences.
Ces opérateurs de ransomware gèrent également des sites darknet en ligne où ils déversent les données volées. Des milliers de personnes et d’organisations ont été victimes de ce type de technique d’extorsion. En l’espace de 12 mois, plus de 1 300 organisations du secteur industriel, des infrastructures et des services critiques ont été touchées. Selon Mandiant Threat Intelligence, ces acteurs de menaces ont des associations entre eux et disposent de communautés en ligne où tous les types d’outils et de techniques de piratage sont discutés. La plupart de ces communautés ont des directives strictes pour l’entrée.
Mandiant a obtenu des échantillons pour ses recherches auprès de victimes de technologies opérationnelles (OT) exploitées. Les chercheurs ont découvert certaines des méthodes sophistiquées utilisées par les acteurs de menaces, notamment des panneaux d’opérateur, des informations sur les fournisseurs partenaires, ainsi que des diagrammes d’ingénierie.
À partir des échantillons recueillis, les chercheurs ont vu des informations d’identification d’employés volées, des visualisations, des feuilles de calcul, des documents de processus, des fichiers de projet, des diagrammes de produits, des documents juridiques et des accords de fournisseurs. Les détails comprennent également le code source propriétaire de la plateforme GPS d’un traceur de véhicules par satellite.
Les organisations sont invitées à améliorer la sécurité des données
Les chercheurs ont ajouté qu’une violation de données sur sept des organisations sur les sites darknet est susceptible d’exposer de la documentation OT sensible. Lorsque les acteurs de menaces ont accès à ce type de données, cela peut leur permettre d’identifier les zones où ils rencontreront le moins de résistance. Cela peut également leur permettre de comprendre un environnement industriel et de lancer ultérieurement des cyberattaques contre l’organisation.
En outre, les documents OT exposés peuvent donner aux acteurs de menaces une idée des finances de l’organisation, du personnel, de la propriété intellectuelle, de la recherche, des processus de production et de toute la culture de l’organisation. Une fois qu’ils disposent de toutes ces informations, il sera plus facile pour les acteurs de menaces de s’organiser pour lancer une attaque.
Par conséquent, les chercheurs ont conseillé aux organisations de ces secteurs critiques de renforcer leur réseau de sécurité. Elles doivent faire de la protection des données leur priorité pour éviter d’être la cible d’un incident de piratage. En outre, les organisations devraient mettre en place des politiques de traitement des données solides pour les sous-traitants et les employés afin de protéger la documentation technique interne.
Kapellmann Zafra, responsable principal de l’analyse technique chez Mandiant, a déclaré qu’il est essentiel que les organisations critiques qui fournissent des services à des milliers de personnes prennent la sécurité de leur réseau très au sérieux. Selon lui, le coût de la sécurisation d’un réseau sera toujours bien inférieur à l’atteinte à la réputation et au coût financier d’une attaque par ransomware.
Les personnes dont les documents ont fait l’objet d’une fuite ou d’une extorsion devraient prendre connaissance de la valeur des données divulguées. Elles devraient déterminer si des mesures de sécurité supplémentaires sont nécessaires pour diminuer le risque d’être attaquées à l’avenir avec les données volées.