Du ransomware au ransomware as a service : comment aller plus loin dans la lutte à l’heure de l’Intelligence artificielle
Si j’avais un seul souhait à formuler pour 2024, ce serait que l’on cesse d’appeler les ransomwares par leur nom. Ce qui a commencé avec une idée simple : chiffrer des données et extorquer de l’argent pour en récupérer l’accès, a bien évolué depuis.
Actuellement, les ransomwares font appel à de nombreuses techniques pour accéder à l’information. Nos recherches montrent que 41 % des cybercriminels se sont infiltrés via la chaîne d’approvisionnement, 24 % directement et 22 % avec l’aide d’un initié.
Leur objectif ? Chiffrer des informations, mais pas seulement.
Les analyser, voler des identifiants et des informations sensibles. On ne parle plus d’un simple vol de données, mais désormais d’une vague de délinquance. Voilà pourquoi ce type d’attaque est devenu un élément central de l’écosystème de la cybercriminalité et, à mon humble avis, la seule attaque que la plupart des cadres et des membres du conseil d’administration connaissent.
En novembre 2023, le cybermonde a franchi une nouvelle étape dans son évolution : ChatGPT a fait irruption sur la scène et sera, selon nous, la prochaine étape de l’évolution des ransomwares. En 2022, nous avions constaté que les ransomwares avaient plus de succès et d’impact commercial sur les entreprises non-anglophones, car ces attaques étaient lancées en anglais.
Les outils d’IA générative, tels que ChatGPT, permettent d’effectuer une traduction dynamique à un niveau exceptionnellement élevé pour localiser les attaques. Ils permettent également l’automatisation de la collecte d’informations publiques des individus et des entreprises, permettant ainsi de créer dynamiquement des attaques d’ingénierie sociale très personnalisées.
Il faut donc s’attendre à ce que cette tendance aux attaques localisées s’accélère. Il n’est guère surprenant que la tendance aux attaques ciblées se soit intensifiée : 71 % des entreprises françaises ont signalé une seconde attaque, même après avoir versé une rançon lors de la première.
De plus, l’IA générative simplifie certaines compétences requises à la codification des attaques, elle réduit ainsi la barrière à l’entrée et favorise l’automatisation de la rédaction des attaques, notamment avec des outils dédiés tels que wormGPT.
Qu’est ce que tout cela signifie ?
Les entreprises ne peuvent plus se permettre de croire que les contrôles traditionnels des ransomwares continueront d’être efficaces à long terme. Même si la plupart des entreprises ont une stratégie anti-ransomwares, nombre d’entre elles ne sont pas prêtes. Certaines n’ont aucune stratégie définie, d’autres n’ont pas le personnel requis ou nécessaire pour la mettre en œuvre. Pourtant, la grande majorité d’entre elles ont augmenté leur budget pour mieux faire face aux ransomwares.
Bien que le nombre de personnes qui s’orientent vers le secteur de la cybersécurité continue de croître, la demande d’experts qualifiés est toujours forte. Sachant que les adversaires ciblent souvent les entreprises en dehors des heures de travail, ces dernières doivent être dotées de fonctionnalités éprouvées pour répondre aux ransomwares actuels, 24h/24, 7j/7 et 365 jours par an. C’est pourquoi de plus en plus d’entreprises optent pour des services opérés de détection et de réponse aux incidents.
Il n’est pas étonnant qu’aujourd’hui, la plupart d’entre elles renforcent leur résilience face aux attaques de ransomware en souscrivant une cyber assurance. Cependant, cela ne constitue en aucun cas une solution miracle, comme nous l’avons observé au cours de cette année. La plupart des entreprises ne sont pas certaines que leur police d’assurance couvre les ransomwares. Bien que la majorité ait déposé une demande d’indemnisation, la plupart n’ont pas reçu le remboursement escompté.
Même si les pays non anglophones sont plus souvent visés, une hausse des demandes de rançon est à prévoir dans ces régions. En effet, les attaquants ont pris conscience que les entreprises étaient disposées à payer cher pour éviter des perturbations.
Cette situation pose des problèmes à plusieurs niveaux.
Rien ne garantit que les données et les systèmes seront restitués intacts, que les cybercriminels ne vendront pas les données au marché noir ou que l’entreprise touchée ne fera pas l’objet d’une nouvelle attaque. Si on découvre que le paiement a contribué à financer le terrorisme ou le crime organisé, un patron d’entreprise peut alors être exposé à des poursuites pénales. Bien entendu, si l’entreprise décide de payer, il ne faut pas s’attendre à récupérer toutes les données.
Que faut-il retenir ?
La menace continue d’évoluer, mais cette étude révèle incontestablement que les mesures de résilience des entreprises face aux ransomwares ne suivent pas le rythme. Testez vos ressources et vos capacités, impliquez l’ensemble de l’entreprise. Interrogez-vous pour savoir si vous disposez des capacités et de l’étendue nécessaires, ou s’il vous faut recourir à des services tiers pour vous assurer d’avoir un plan adapté aux attaques actuelles et futures.
Jean-Baptiste Guglielmine, Expert en cybersécurité - Cybereason.
Sur le même thème
Voir tous les articles Actualités