Crédit image: Anete Lusina via Pexels

Le Federal Bureau of Investigation (FBI) américain a émis un avertissement sévère concernant une recrudescence préoccupante des doubles attaques de ransomware contre les entreprises américaines. Cette tendance remonte à juillet 2023. Voir aussi: Ziggo Group nomme ses dirigeants avant l'introduction en Bourse à Amsterdam en 2027.

Doubles Assauts: Une Tendance Inquiétante

Les cybercriminels ont adopté un modus operandi troublant lors de ces attaques. Ils déploient deux variantes distinctes de ransomware contre leurs cibles. Ils disposent d'un éventail d'options, notamment AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum et Royal. Ce qui est particulièrement déconcertant, c'est que ces variantes sont souvent déchaînées dans diverses combinaisons. Cela complique le processus de récupération. Voir aussi: Pourquoi les CFO, pas seulement les CTO, devraient se soucier de leur inventaire IP.

L'ampleur de ces attaques reste entourée de mystère. Cependant, on soupçonne qu'elles se produisent en succession rapprochée. Elles surviennent entre 48 heures et 10 jours d'intervalle. Cette approche éclair laisse les victimes aux prises avec les conséquences de doubles frappes. Voir aussi: La flotte de robotaxis Tesla opère sans supervision à Austin.

S'ajoutant à l'arsenal des cybercriminels, on note une utilisation croissante de techniques personnalisées de vol de données, d'outils d'effacement et de logiciels malveillants pour contraindre les victimes à capituler face aux demandes de rançon. La combinaison de ces tactiques aboutit à un mélange angoissant de chiffrement de données, d'exfiltration de données et de pertes financières liées au paiement des rançons. Voir aussi: La FCC impose des licences pour les points d'atterrissage des câbles sous-marins aux États-Unis.

Le FBI souligne qu'une deuxième attaque de ransomware sur un système déjà compromis pourrait infliger des dommages importants aux organisations victimes. Cette évolution alarmante a suscité des inquiétudes au sein de la communauté de la cybersécurité. Voir aussi: Les États-Unis ferment la faille des puces d'IA offshore.

Pas un Concept Nouveau

Le concept de doubles attaques de ransomware n'est pas entièrement sans précédent. Il existe des cas documentés remontant à mai 2021. Lors d'un incident notable l'année dernière, un fournisseur automobile non divulgué a été victime d'une triple attaque de ransomware. Cette attaque a été orchestrée par LockBit, Hive et BlackCat sur une période de deux semaines en avril et mai 2022. Voir aussi: FCC relance les enchères AWS-3 après le défaut de Dish.

Plus tôt ce mois-ci, Symantec a signalé une attaque de ransomware 3AM contre une cible non divulguée. Cela a suivi une tentative infructueuse d'infiltration du réseau avec LockBit. Ces incidents mettent en évidence l'évolution des tactiques des acteurs de ransomware. Voir aussi: Les États-Unis comblent la faille des puces IA Nvidia à l’étranger.

L'Évolution des Tactiques

Plusieurs facteurs expliquent ce changement de tactique. Les cybercriminels exploitent des vulnérabilités zero-day. Ils tirent parti de la croissance des courtiers en accès initial et exploitent les affiliés dans le paysage des ransomwares. Ces intermédiaires revendent l'accès aux systèmes des victimes. Ils permettent le déploiement de plusieurs souches en succession rapide.

À la lumière de ces développements, les organisations sont instamment invitées à renforcer leurs défenses. Cela inclut la conservation de sauvegardes hors ligne sécurisées. Elles devraient également surveiller de près les connexions à distance externes et mettre en œuvre des mécanismes d'authentification multi-facteurs robustes pour contrecarrer les tentatives de phishing. De plus, l'audit des comptes d'utilisateurs et la segmentation du réseau peuvent constituer des mesures de protection essentielles contre la propagation des ransomwares.

Recommandations du FBI pour la Défense

Le FBI conseille aux organisations de prendre des mesures proactives pour se protéger contre les menaces de ransomware en évolution. Ces actions comprennent la conservation de plusieurs copies hors ligne de sauvegardes hautement sécurisées, chiffrées et immuables. Les sauvegardes immuables sont indispensables pour empêcher le chiffrement, la suppression ou l'altération des données lors d'une attaque de ransomware. Elles facilitent la restauration des données et du réseau sans céder aux demandes de rançon.