Les ransomwares ne représentent plus uniquement un problème informatique. Ils ont désormais envahi les conseils d’administration et plus encore. Les cyberattaques sophistiquées d’aujourd’hui (attaques contre les hôpitaux, perturbations de l’approvisionnement en essence ou en nourriture, etc.) ont un impact sur notre vie quotidienne.
Non seulement ces attaques sont de plus en plus fréquentes et rapides, mais les cybercriminels deviennent extrêmement agressifs et changent de tactique au fil du temps. Pour être sûrs de gagner de l’argent, les cybercriminels ne se contentent plus de chiffrer les données de production et de sauvegarde. Désormais, ils volent (ou, plus techniquement, « exfiltrent ») les données sensibles d’une entreprise, puis menacent de les exposer sur le dark web. C’est ce que l’on appelle des stratagèmes de « double extorsion ».
Comment en est-on arrivé là ?
L’augmentation des attaques par ransomware s’explique par l’adoption accrue des crypto-monnaies, notamment le Bitcoin, l’Ethereum etc. À bien des égards, la crypto-monnaie a permis aux cybercriminels de développer plus rapidement leurs activités criminelles. Elle leur a permis de lancer leurs attaques de manière anonyme, d’exiger des paiements intraçables et de percevoir facilement les rançons. De là est née la première génération de ransomware, que j’appellerai « ransomware 1.0 », l’ère de WannaCry.
Les variantes de ransomware 1.0 comme WannaCry ont ciblé et chiffré les données de production. Les systèmes de sauvegarde sont alors rapidement devenus les solutions de facto pour faire face aux menaces de ransomware 1.0. Les entreprises qui protégeaient périodiquement leurs données avec des solutions comme Cohesity ont pu réagir rapidement aux attaques et reprendre leurs activités sans payer de rançon.
L’architecture de Cohesity est axée sur la sécurité. Elle permet aux entreprises de protéger et de récupérer rapidement leurs données critiques en cas de catastrophe naturelle ou de sinistre d’origine humaine (par exemple une attaque par ransomware). Les clients de Cohesity peuvent se défendre contre les ransomwares 1.0 grâce à la combinaison de capacités uniques, notamment des snapshots entièrement hydratés, d’une architecture distribuée avec ingestion parallèle MegaFile, et d’une détection d’anomalies basée sur le machine learning (ML). La solution permet aux clients de découvrir rapidement une attaque potentielle sur leurs données de production, et de récupérer instantanément des centaines de VM, de NAS et de données Oracle pour réduire les temps d’arrêt et les pertes de données.
La restauration des données à partir d’outils de sauvegarde a permis aux entreprises d’éviter de payer des rançons, ce qui a obligé les cybercriminels à changer de tactique. Après les données utilisateurs et les données de production, les cybercriminels ont évolué pour cibler également les systèmes et les données de sauvegarde, entraînant l’essor du « ransomware 2.0 ».
Les cybercriminels ont utilisé des variantes de ransomware 2.0 comme DarkSide et Ryuk pour attaquer violemment les ensembles de données de sauvegarde stockés sur divers fournisseurs de sauvegarde traditionnels. En analysant le code source de DarkSide, les chercheurs en sécurité ont découvert un code conçu pour désactiver ou supprimer les données de certaines solutions de sauvegarde existantes, de services de sécurité, et de services Microsoft critiques comme VSS, SQL Server, avant de lancer une attaque sur les copies de production des données.
Comme de nombreux hôpitaux, le Sky Lakes Medical Center, un important fournisseur de soins aux États-Unis et un client de Cohesity, a été touché par la variante du ransomware Ryuk. L’attaque a touché 70 % des opérations informatiques de Sky Lakes, notamment leurs anciennes sauvegardes. Heureusement, Sky Lakes avait déployé Cohesity dans le cadre de ses efforts de modernisation informatique. Cela lui a permis de résister à l’attaque et de récupérer les données que Cohesity protégeait, sans payer de rançon. Comment ?
La plateforme de gestion des données nouvelle génération de Cohesity repose sur l’architecture Cohesity Threat Defense. Les deux premières couches de cette architecture assurent la résilience des données (cadre de chiffrement, tolérance aux pannes et sauvegardes inaltérables) et fournissent des contrôles d’accès stricts (MFA, RBAC granulaire, audit, surveillance continue, etc.) L’architecture de Cohesity permet aux entreprises de protéger leurs données de sauvegarde et la plateforme contre les variantes de ransomware 2.0.
Mais qu’en est-il de la menace d’exfiltration des données ? Selon une recherche menée par Covewave, au cours du 2ème trimestre 2021, les cybercriminels revendiquaient avoir volé des données dans 80 % des attaques par ransomware. Et, malheureusement, près des deux tiers des entreprises touchées ont confirmé avoir payé une rançon pour empêcher la fuite de leurs données sensibles, les criminels ayant une fois de plus fait évoluer leurs tactiques. C’est à cette époque qu’est apparu le « ransomware 3.0 ».
Les attaques par ransomware sont généralement perturbatrices, mais l’exfiltration de données fait passer la menace à un autre niveau. Selon IBM Security, le coût moyen des violations de données approche les 4,24 M€. Ce coût comprend les coûts directs de la correction de l’impact, les sanctions réglementaires, la sensibilisation des victimes et les pénalités, ainsi que les dommages qu’une violation des données causerait à la marque et à la réputation d’une entreprise chez ses clients, fournisseurs, partenaires et employés.
Au début de l’année 2021, Acer, le fabricant mondial d’ordinateurs taïwanais, a été touché par REvil, une variante du ransomware 3.0. Cette attaque a fait la une des journaux pour plusieurs raisons.
- C’était la plus importante cyber rançon connue jamais demandée : 50 M€.
- L’attaque est allée bien au-delà du chiffrement standard des données. Les cybercriminels ont exfiltré des données propriétaires et des données clients avant de chiffrer un important jeu de données.
Acer a été victime d’une double extorsion. L’entreprise a dû à la fois s’occuper du chiffrement des données, et empêcher la fuite des données propriétaires et des données clients.
Cohesity intègre dans son architecture sous-jacente les principes du Zero Trust pour réduire le rayon d’action des ransomwares, et va même au-delà pour offrir une vraie valeur ajoutée. Non seulement l’architecture Cohesity Threat Defense assure la résilience des données et fournit un contrôle d’accès robuste, mais elle permet également aux entreprises de faire converger la sécurité et la gouvernance des données. Grâce à Cohesity DataGovern, une solution basée sur le SaaS (logiciel à la demande), les entreprises pourront :
- Identifier les données sensibles, et découvrir où elles résident sur les référentiels primaires et secondaires La découverte de données sensibles ne se limitera plus aux métadonnées et aux extensions de fichiers. La solution s’appuiera sur des techniques de classification précises et adaptées au contenu pour minimiser les faux positifs et identifier correctement l’emplacement de vos ressources de données les plus précieuses.
- Une fois classées, les données peuvent être analysées en fonction de différents cadres réglementaires et de conformité pour identifier les points sensibles ou les zones surexposées.
- L’entreprise peut ensuite invoquer un flux de travail de correction pour traiter le risque commercial et l’exposition comme mesure préventive contre l’exfiltration de données.
- Le service offre enfin une surveillance continue et une analyse comportementale des utilisateurs et des entités basée sur l’IA. Grâce aux alertes en temps quasi réel, les entreprises peuvent détecter quand les acteurs malveillants accèdent aux données en compromettant les identifiants d’utilisateurs légitimes, et savoir à quelles données sensibles ils ont accès. Elles peuvent également surveiller les activités malveillantes en interne pour stopper toute tentative d’exfiltration de données hors de l’entreprise.
La cyber-extorsion a évolué. Pour ne pas simplement survivre mais prospérer dans l’environnement difficile de la cybersécurité d’aujourd’hui, les entreprises aussi doivent évoluer. Elles doivent notamment améliorer leur façon de se défendre et de répondre à la cyber extorsion, par exemple en ce qui concerne la gestion de leurs données. Découvrez comment Cohesity peut vous aider à protéger vos données et la réputation de votre entreprise.
