Le fléau du ransomware continue de croître et de montrer du succès pour les attaquants, selon le Rapport Radar Ransomware 2024 de Rapid7. Ce rapport souligne une augmentation significative des attaques et des fuites, ainsi qu’une plus grande sophistication dans les tactiques utilisées par les cybercriminels.
Augmentation des Groupes et des Attaques
En 2024, la menace du ransomware a atteint un niveau encore plus grave comparé à 2023. Pendant la première moitié de l’année, Rapid7 a suivi plus de 2 500 attaques de ransomware, ce qui équivaut à plus de 14 incidents publics par jour. Ce nombre pourrait être beaucoup plus élevé si l’on considère les attaques non déclarées et celles où la rançon a été payée sans fuite de données.
Le rapport montre une augmentation du nombre de publications sur des sites de fuites, passant d’une moyenne de 24 par mois au premier semestre de 2023 à 40 par mois pendant la même période en 2024. Cela reflète la migration continue des attaquants vers l’extorsion double, qui combine le chiffrement des données avec l’exfiltration et la fuite d’informations.
Groupes de Ransomware Actifs
Au cours des six premiers mois de 2024, Rapid7 a observé 21 nouveaux groupes de ransomware. Un cas remarquable est le groupe RansomHub, qui s’est rapidement établi comme un groupe d’extorsion important en faisant 181 publications sur son site de fuites entre février et juin 2024.
La recherche a également révélé que les petites et moyennes entreprises sont les cibles les plus fréquentes, en particulier celles avec des revenus annuels d’environ 5 millions de dollars, étant suffisamment grandes pour posséder des données précieuses mais pas aussi protégées que les grandes entreprises.
Tendances dans les Algorithmes de Chiffrement
Les cybercriminels continuent de préférer certains algorithmes de chiffrement pour leur efficacité et leur capacité à échapper à la sécurité. Les trois algorithmes les plus courants sont l’AES (Advanced Encryption Standard), ChaCha et le RC4. L’AES est largement reconnu pour sa sécurité et son efficacité, tandis que ChaCha est apprécié pour sa haute performance en logiciel, en particulier sur les plateformes sans matériel cryptographique spécialisé. Le RC4, bien que considéré comme peu sûr, est encore utilisé dans des environnements moins sophistiqués en raison de sa simplicité et de sa rapidité.
Accès Initial et Courtiers
L’accès initial reste une partie cruciale de la chaîne d’attaques de ransomware. Les courtiers d’accès jouent un rôle vital en vendant des identifiants et des accès à des réseaux d’entreprise sur des forums clandestins. Le protocole de bureau à distance (RDP) et VPN sont les méthodes d’accès les plus courantes, soulignant la nécessité de sécuriser ces points d’entrée avec des mesures de sécurité robustes.
Implications pour la Sécurité
Le rapport souligne la nécessité pour les organisations de renforcer leurs défenses cybernétiques. La mise en œuvre de l’authentification à plusieurs facteurs (MFA), l’application rigoureuse de correctifs de sécurité et la gestion proactive de la surface d’attaque sont essentielles pour atténuer le risque d’accès initial et de déploiement ultérieur de ransomware.
Rapid7 continue d’enquêter et de développer des technologies de prévention du ransomware pour protéger ses clients contre les menaces les plus récentes. À mesure que la menace du ransomware évolue, les stratégies de défense cybernétique doivent également évoluer, nécessitant une vigilance et une adaptation continues.
Conclusion
Le ransomware en 2024 s’est avéré être une menace persistante et en évolution, avec une augmentation du nombre d’attaques et une sophistication accrue dans les tactiques utilisées. Les organisations doivent maintenir une posture défensive proactive et adaptative pour se protéger contre cette menace croissante.