L'extorsion et les rançongiciels sont des activités très rentables et peu coûteuses qui peuvent facilement paralyser les organisations ciblées. Ce qui a commencé comme un simple ransomware pour un seul PC s'est transformé en un large éventail de schémas d'extorsion activés par l'intelligence humaine, infectant les réseaux de tous les types d'organisations à travers le monde. Cela est particulièrement préoccupant lorsque la violation aurait pu être évitée par une gouvernance efficace des identités en ligne.
Les organisations n'ont généralement pas besoin de dépendre de leurs compétences techniques et de leur expérience internes. La gestion des identités dans le cloud computing est essentielle pour la sécurité du cloud. Des identités cloud mal configurées peuvent entraîner l'arrêt d'une application entière ou entraîner une compromission majeure de la sécurité. Les organisations peuvent s'associer à des tiers pour prendre en charge la gouvernance de leur identité cloud via un Plate-forme d'identité cloud.
Qu'est-ce qu'un rançongiciel ?
Un rançongiciel est un logiciel malveillant qui empêche un utilisateur ou une organisation d'accéder à des fichiers sur son ordinateur. Des acteurs malveillants chiffrent ces fichiers et exigent une forte rançon pour la clé de déchiffrement, mettant entreprises dans une position où le paiement de la rançon est la méthode la plus simple et la moins chère pour retrouver l'accès à leurs données. Certaines variantes de ransomwares ont introduit des fonctionnalités supplémentaires, telles que le vol de données, pour inciter les victimes de ransomwares à payer la rançon.
Il devrait être clair que ce type d'attaque pourrait non seulement paralyser une organisation en supprimant l'accès aux données critiques du système, mais pourrait également ternir sérieusement la réputation d'une organisation. Ces types d'attaques entraînent généralement le déversement de vastes volumes d'informations sensibles dans le domaine public ou leur vente au plus offrant. Ces informations peuvent être des informations personnelles telles que des comptes d'utilisateurs non hachés ou, pire, des informations financières sensibles exposant des stratégies commerciales ou des bénéfices non déclarés. En règle générale, les retombées après une telle violation ont un impact plus important que la violation elle-même. Ouverture de l'organisation à d'éventuelles non-conformités et à d'éventuels litiges.
A lire aussi: Qu'est-ce que la sécurité informatique | Menaces courantes pour la sécurité informatique
Ransomware en tant que service (RaaS)
Le Rançongiciel Conti initialement fait surface en juillet 2020, en utilisant un modèle commercial de double extorsion. Une victime est d'abord extorquée contre une rançon et la publication éventuelle de ses données volées dans cette double approche d'extorsion. Conti est également un ransomware en tant que service (RaaS), un service basé sur un abonnement qui donne aux affiliés de services un accès immédiat aux outils et aux builds de création de ransomwares. Les affiliés du service acceptent de répartir les paiements de rançon entre le développeur du ransomware et l'acteur malveillant qui a mené l'attaque. Ce qui en fait une industrie lucrative pour les pirates.
Conti acquiert généralement l'accès au réseau d'une victime par le biais d'autres menaces telles que Trickbot, IcedID ou Zloader. Conti dispose d'un module de reconnaissance configurable qui peut analyser les réseaux internes à la recherche de partages réseau et d'autres cibles de grande valeur une fois à l'intérieur du réseau victime.
Conti commence à chiffrer les données et les bases de données modifiables par l'utilisateur en fonction des listes d'extensions de fichiers spécifiées une fois qu'il est installé dans l'environnement de la victime. Une note de rançon serait alors placée dans chaque répertoire de fichiers une fois le cryptage terminé, indiquant à l'utilisateur comment contacter les acteurs malveillants.
Le modèle commercial des rançongiciels s'est effectivement transformé en une opération de renseignement, les acteurs criminels recherchant leurs victimes cibles pour déterminer la meilleure demande de rançon. Après avoir infiltré un réseau, un acteur criminel peut exfiltrer et étudier des documents financiers et des plans d'assurance. Ils peuvent également être conscients des conséquences de la violation des lois locales. Les acteurs exigeront alors de l'argent de leurs victimes pour déverrouiller leurs systèmes et empêcher la divulgation publique des données exfiltrées de la victime.
A lire aussi: Meilleurs outils gratuits de suppression de logiciels espions pour PC Windows
Comment cela peut-il être évité ?
Une mesure clé en ce qui concerne les violations de ransomwares est la conservation des identités et la séparation efficace des tâches. La gouvernance des identités dans le cloud joue un rôle majeur dans la protection des organisations contre les violations de données par les ransomwares.
Des acteurs malveillants peuvent accéder à des environnements fermés en installant des logiciels malveillants pour récolter des identités en ligne et des identifiants d'authentification. Ce logiciel pourrait émerger grâce à une ingénierie sociale soigneusement planifiée ou à d'autres mécanismes subtils en fonction de la nature humaine.
Les organisations doivent jouer un rôle actif dans la conservation de leurs identités en ligne. En s'associant à un spécialiste du secteur, les organisations ont la possibilité d'introduire des protocoles et des pratiques de sécurité solides dans leurs environnements cloud. Il existe une corrélation certaine entre le manque de gouvernance des identités en ligne et le risque accru d'attaques de ransomwares. En pratiquant une cyber-hygiène efficace, les acteurs malveillants ont moins de surface d'attaque et les organisations peuvent être rassurées.