{ Tribune Expert } - Evolution des ransomwares : perspectives à l'horizon 2025
Les réglementations sur le signalement des incidents se durcissent, tandis que les cas d'exfiltration de données continuent d'augmenter. Des évolutions qui marquent le début d'une nouvelle ère dans la lutte contre les ransomwares...
Les attaques par ransomware ont atteint des niveaux records en 2024. D'ici 2025, le monde des ransomwares connaîtra une transformation majeure, marquée par l'adoption de stratégies de plus en plus sophistiquées et ciblées par les cybercriminels. On observe d'ailleurs une nette augmentation des attaques spécifiquement dirigées contre les entreprises valant plusieurs milliards de dollars, l'intégration de l'IA générative permettant de créer des campagnes de ransomware plus sophistiquées et convaincantes.
Le monde de la cybersécurité fait donc face à des défis sans précédent. Dans le même temps, les réglementations sur le signalement des incidents se durcissent, tandis que les cas d'exfiltration de données continuent d'augmenter. Des évolutions qui marquent le début d'une nouvelle ère dans la lutte contre les ransomwares...
Soucieux de fournir un aperçu de ce paysage qui nous attend et souhaitant offrir aux entreprises la visibilité nécessaire pour anticiper les menaces émergentes et renforcer proactivement leurs défenses en matière de cybersécurité, j'ai établi la série suivante de prédictions pour les 12 prochains mois :
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
1. Des attaques très ciblées contre les entreprises à hauts profits
Le succès de groupes comme Dark Angels prouve bien que l'on s'oriente vers une recrudescence d'attaques ciblées contre des entreprises de grande valeur. Dark Angels, l'un des groupes de ransomware les plus efficaces mais aussi les plus discrets de l'année écoulée, se distingue par une stratégie unique : il concentre ses attaques sur un petit nombre d'entreprises à hauts profits en exigeant des montants de rançons considérables.
Ce groupe adopte également une approche sélective en choisissant délibérément d'utiliser ou non un ransomware pour chiffrer les fichiers, tout en usurpant systématiquement d'importantes quantités de données. On notera aussi le recours au chiffrement selon le degré de perturbation que cela pourrait occasionner à l'entreprise ciblée. Dark Angels est l'un des rares groupes qui cherche à minimiser l'impact des interruptions d'activité pour ne pas attirer l'attention des médias.
Cette stratégie poursuit un double objectif : d'une part, réduire la vigilance des autorités compétentes et des experts en sécurité, et d'autre part, consacrer davantage de ressources à l'infiltration de grandes entreprises. Face à la menace de divulgation de grands volumes de données, ces entreprises sont souvent prêtes à verser des rançons conséquentes pour protéger leur réputation et limiter les dégâts.
Le groupe a ainsi réussi à obtenir le plus gros paiement de rançon connu à ce jour (75 millions de dollars). Un exploit qui, sans doute, ne manquera pas d'attirer l'attention d'autres acteurs de ransomwares en 2025 et pourrait en inciter certains à vouloir reproduire leur succès.
2. L'essor de l'ingénierie sociale vocale
Face à l'évolution des tactiques des cybercriminels, l'ingénierie sociale basée sur la voix s'est révélée être un outil redoutablement efficace. Cette méthode qui se joue de la confiance humaine fait ressortir l'ingéniosité croissante des courtiers d'accès initiaux. Selon les prévisions, les attaques ciblées continueront d'utiliser des techniques d'ingénierie sociale basées sur la voix.
Par ailleurs, nous nous attendons d'ici 2025 à une augmentation des attaques ciblées facilitées par l'implication de courtiers d'accès initiaux spécialisés. A l'image de groupes Qakbot et Scattered Spider, ces courtiers ont recours à des techniques leur permettant de s'introduire dans les systèmes, parmi lesquelles l'ingénierie sociale particulièrement efficace basée sur la voix, également appelée vishing.
Cette méthode vise à tromper les individus pour qu'ils accordent involontairement l'accès à des environnements d'entreprise. Une fois cet accès obtenu, ce dernier est utilisé pour exfiltrer des données sensibles et déployer des ransomwares. Cette nouvelle tendance témoigne des collaborations au sein de l'écosystème cybercriminel et souligne l'importance d'une vigilance renforcée et de l'adoption de mesures de sécurité avancées pour contrer ces menaces en perpétuelle évolution.
3. L'IA générative : la nouvelle frontière des campagnes de ransomwares
L'intégration de l'IA dans la cybercriminalité marque une avancée majeure dans la sophistication des attaques. L'IA générative permet de concevoir des attaques plus convaincantes et plus difficiles à détecter : un nouveau défi pour les systèmes de défenses en cybersécurité. Les cybercriminels, notamment ceux impliqués dans les ransomwares, adopteront de plus en plus cette technologie pour élaborer des campagnes plus ciblées, personnalisées et adaptées à des contextes spécifiques.
L'adoption croissante de l'IA générative en 2025 et au-delà permettra aux cybercriminels de concevoir des e-mails de spam avec une grammaire et une orthographe irréprochables. Ces messages seront bien plus crédibles et difficiles à repérer. De plus, le clonage vocal sera utilisé pour usurper l'identité de collaborateurs de l'entreprise et ainsi obtenir un accès privilégié à des systèmes sensibles.
Dans les années à venir, les voix générées par l'IA pourraient être personnalisées en utilisant des accents et des dialectes locaux pour renforcer leur crédibilité et augmenter les chances de succès des attaques. En effet, le meilleur exemple pour illustrer ce propos réside sans nul doute, dans leur capacité à imiter des voix spécifiques.
4. Une meilleure transparence grâce aux nouvelles réglementations NIS2 et DORA
Les dates limites de mise en conformité avec la directive NIS2 et la loi DORA sur la résilience des opérations numériques approchent à grands pas. Désormais au centre des préoccupations de nombreuses entreprises, les réglementations liées à la cybersécurité telles que les initiatives NIS 2 et DORA constituent des avancées prometteuses pour l'Europe.
Toutefois, bien qu'elles jouent un rôle actif dans le développement des technologies, en permettant aux entreprises de passer de la simple réponse à un incident à une planification stratégique plus complexe, les réglementations ne les incitent pas pour autant à innover. Elle les obligent au contraire à uniquement respecter le statu quo.
5. L'augmentation rapide des attaques par exfiltration massive de données
Les cybercriminels adoptent de plus en plus la tactique de l'exfiltration de données pour leurs demandes de rançon. Exploitant la crainte de la divulgation d'informations sensibles, ils parviennent ainsi à contraindre les victimes à verser des rançons. Ce type d'attaque, y compris les incidents où aucun fichier n'est chiffré, est une tendance qui a pris de l'ampleur dès 2022 et qui continuera malheureusement de se multiplier.
6. Le secteur de la santé : une cible de choix pour les ransomwares
Le secteur de la santé demeure particulièrement vulnérable aux attaques par ransomware, en raison de la grande valeur de ses données et de ses infrastructures de sécurité souvent obsolètes. De nombreuses entreprises de ce domaine tardent en effet à moderniser leurs systèmes, laissant ainsi la porte ouverte aux cyberattaques.
Cette lenteur à adopter des mesures de sécurité avancées, telles que les stratégies de défense Zero Trust, les expose à des violations répétées et à des tentatives d'extorsion. Les établissements de soins négligeant de donner la priorité à ce type de protections risquent de devenir des cibles privilégiées pour les groupes de ransomwares.
7. La collaboration entre autorités policières et entreprises privées
Les forces de l'ordre et les industries privées renforceront leur collaboration dans la lutte contre les attaques par ransomware, particulièrement en ce qui concerne la perturbation des courtiers d'accès initial et des principaux groupes de cybercriminels. Avec l'intensification des menaces, la collaboration internationale est appelée à jouer un rôle majeur. Le partage de renseignements et de compétences techniques renforcera ces actions coordonnées et perturbera efficacement les réseaux mondiaux de ransomwares.
Vigilance, adaptation et proactivité
Ces tendances soulignent ainsi à quel point les entreprises se doivent de rester vigilantes, adaptatives et proactives dans leurs stratégies de défense, la menace des ransomwares étant tout sauf statique.
Trois étapes essentielles sont indispensables pour les entreprises souhaitant rapidement atténuer les risques :
Minimiser la surface d'attaque
Les architectures Zero Trust sont particulièrement efficaces dans cette démarche car elles dissimulent les utilisateurs, applications et appareils derrière un proxy cloud et les rendent invisibles et indétectables depuis Internet. À l'instar d'un standard téléphonique qui relie les appels aux destinations autorisées, le modèle Zero Trust n'autorise que les connexions validées entre un utilisateur ou un appareil et une destination spécifique.
Prévenir toute compromission initiale
Pour cela, les entreprises doivent mettre en place des mécanismes tels qu'une inspection approfondie des connexions TLS/SSL, l'isolation du navigateur, le sandboxing avancé et des contrôles d'accès basés sur des politiques strictes. Ces mesures permettent de bloquer l'accès des utilisateurs à des sites internet malveillants et d'identifier les menaces inconnues avant qu'elles n'atteignent le réseau. En renforçant ces protections, le risque de compromission est considérablement réduit, assurant une meilleure sécurité en amont des attaques.
Éliminer les mouvements latéraux
En appliquant une segmentation stricte entre les utilisateurs et les applications ou entre les applications elles-mêmes, les connexions s'effectuent directement entre l'utilisateur et l'application, ou entre applications, sans passer par le réseau global. Cela neutralise les risques de mouvements latéraux. De plus, la centralisation de la gestion des politiques de contrôle d'accès agit comme un point de contrôle de sécurité pour le trafic Internet et bloque les voies d'accès potentielles pour les attaquants. Par ailleurs, adopter des mesures pour éviter les pertes de données en ligne est essentiel pour neutraliser efficacement les tentatives de vol de données et garantir que celles-ci soient sécurisées tant en transit qu'au repos.
En somme, alors que les tactiques de ransomwares continuent d'évoluer, nos efforts collectifs pour protéger les actifs numériques et préserver l'intégrité de notre monde interconnecté doivent, eux aussi, s'adapter et évoluer !
* Responsable de la veille sur les menaces chez Zscaler
Sur le même thème
Voir tous les articles Cybersécurité