Crédit image: Anete Lusina via Pexels

Le Bureau fédéral d'enquête (FBI) américain a émis un avertissement sévère concernant une recrudescence préoccupante des doubles attaques par rançongiciel visant les entreprises américaines. Cette tendance remonte à juillet 2023.

Double assaut: une tendance inquiétante

Les cybercriminels ont adopté un modus operandi inquiétant lors de ces attaques. Ils déploient deux variantes distinctes de rançongiciel contre leurs cibles. Ils disposent d'un éventail d'options, notamment AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum et Royal. Ce qui est particulièrement préoccupant, c’est que ces variantes sont souvent utilisées dans diverses combinaisons, ce qui complique la récupération.

L'ampleur de ces attaques reste entourée de mystère. Cependant, on soupçonne qu'elles se produisent en succession rapprochée, dans un intervalle de 48 heures à 10 jours. Cette approche rapide laisse les victimes aux prises avec les conséquences de doubles frappes.

Les cybercriminels renforcent également leur arsenal en recourant de plus en plus à des techniques personnalisées de vol de données, à des outils d'effacement (wipers) et à des logiciels malveillants pour contraindre les victimes à céder aux demandes de rançon. La combinaison de ces tactiques entraîne un mélange effrayant de chiffrement des données, d'exfiltration de données et de pertes financières via le paiement de rançons.

Le FBI souligne qu'une deuxième attaque par rançongiciel sur un système déjà compromis pourrait infliger des dommages significatifs aux organisations victimes. Cette évolution alarmante a suscité des inquiétudes dans toute la communauté de la cybersécurité.

Un concept qui n'est pas nouveau

Le concept des doubles attaques par rançongiciel n'est pas entièrement sans précédent. Il existe des cas documentés remontant à mai 2021. Dans un incident notable de l'année dernière, un fournisseur automobile non divulgué a été victime d'une triple attaque par rançongiciel, orchestrée par LockBit, Hive et BlackCat sur une période de deux semaines en avril et mai 2022.

Plus tôt ce mois-ci, Symantec a signalé une attaque par rançongiciel « 3AM » contre une cible non divulguée, après une tentative infructueuse d'infiltrer le réseau avec LockBit. Ces incidents mettent en évidence les tactiques évolutives des acteurs du rançongiciel.

L'évolution des tactiques

Plusieurs facteurs expliquent ce changement de tactiques. Les cybercriminels exploitent les vulnérabilités zero-day. Ils tirent parti de la croissance des courtiers d'accès initial et exploitent les affiliés du paysage du rançongiciel. Ces intermédiaires revendent l'accès aux systèmes des victimes, permettant le déploiement de plusieurs souches en succession rapide.

Face à ces évolutions, les organisations sont fermement invitées à renforcer leurs défenses. Cela implique de conserver des sauvegardes sécurisées hors ligne, de surveiller étroitement les connexions externes à distance et de mettre en œuvre des mécanismes d'authentification multifacteur robustes pour contrecarrer les tentatives de phishing. En outre, l'audit des comptes d'utilisateurs et la segmentation du réseau peuvent constituer des garde-fous essentiels contre la propagation des rançongiciels.

Recommandations du FBI pour la défense

Le FBI conseille aux organisations de prendre des mesures proactives pour se prémunir contre les menaces évolutives des rançongiciels. Ces actions incluent la conservation de plusieurs copies hors ligne de sauvegardes hautement sécurisées, chiffrées et immuables. Les sauvegardes immuables sont indispensables pour empêcher le chiffrement, la suppression ou la modification des données lors d'une attaque par rançongiciel, et facilitent la restauration des données et du réseau sans céder aux demandes de rançon.