Client: Proofpoint Ltd
Format: Solution Brief
Size: 618 KB
Language: Français
Date: 14.05.2024
Proofpoint pour se protéger des ransomwares
Le ransomware est l'une des formes de cyberattaque les plus déstabilisantes. Il interrompt les activités de ses victimes, contraint les hôpitaux à renvoyer les patients chez eux et met les pouvoirs publics complètement à l'arrêt. Il n'a cessé d'évoluer pour devenir l'une des cybermenaces actuelles les plus redoutables. Rien que l'année dernière, les États-Unis ont recensé plus de 65 000 attaques de ransomwares. Cette menace figure au nombre des principales préoccupations des RSSI et est devenue un problème de sécurité nationale. Bien plus alarmant encore, de nombreuses entreprises sont totalement désarmées face à une attaque de ransomware. Seulement 13 % des experts informatiques interrogés par le Ponemon Institute considèrent que leur entreprise est en mesure de prévenir une attaque de ransomware. Plus de 68 % s'estiment « vulnérables » ou « très vulnérables »
Les emails et le Web sont les principaux vecteurs d'attaque utilisés par les ransomwares. À l'heure actuelle, la plupart de ces attaques se déroulent en plusieurs phases. La messagerie et les sites web compromis jouent un rôle déterminant dans les premières phases de la chaîne d'attaque. Ils sont utilisés pour distribuer la charge virale initiale, généralement un téléchargeur de malwares. Ces charges virales sont conçues pour infiltrer le système de l'utilisateur, le plus souvent pour dérober des identifiants de connexion et accéder au réseau. Les opérateurs de ransomwares utilisent également des identifiants de connexion volés pour accéder à des services Internet. Parmi les tactiques courantes figurent les emails de phishing d'identifiants de connexion, les attaques par force brute de mots de passe et les compromissions par téléchargement à l'insu de l'utilisateur (drive-by).
Une fois l'accès initial obtenu, les opérateurs de ransomwares s'implantent durablement, mènent des opérations de reconnaissance et se déplacent latéralement. Dès qu'ils sont à l'intérieur, les cybercriminels peuvent chiffrer les fichiers sensibles, mais aussi exfiltrer des informations stratégiques dans le cadre d'une double extorsion.
Les emails et le Web sont les principaux vecteurs d'attaque utilisés par les ransomwares. À l'heure actuelle, la plupart de ces attaques se déroulent en plusieurs phases. La messagerie et les sites web compromis jouent un rôle déterminant dans les premières phases de la chaîne d'attaque. Ils sont utilisés pour distribuer la charge virale initiale, généralement un téléchargeur de malwares. Ces charges virales sont conçues pour infiltrer le système de l'utilisateur, le plus souvent pour dérober des identifiants de connexion et accéder au réseau. Les opérateurs de ransomwares utilisent également des identifiants de connexion volés pour accéder à des services Internet. Parmi les tactiques courantes figurent les emails de phishing d'identifiants de connexion, les attaques par force brute de mots de passe et les compromissions par téléchargement à l'insu de l'utilisateur (drive-by).
Une fois l'accès initial obtenu, les opérateurs de ransomwares s'implantent durablement, mènent des opérations de reconnaissance et se déplacent latéralement. Dès qu'ils sont à l'intérieur, les cybercriminels peuvent chiffrer les fichiers sensibles, mais aussi exfiltrer des informations stratégiques dans le cadre d'une double extorsion.
