La menace des ransomwares n’est pas nouvelle, et pourtant elle continue de faire la une des journaux. Les récentes victimes de ransomware, telles que le producteur de viande JBS Foods, l’entreprise américaine Colonial Pipeline, le distributeur de produits chimiques Brenntag et le service de santé irlandais, étaient certainement conscientes des dangers et avaient mis en place des mesures pour se protéger.

Les statistiques n’impliquent certainement pas que le ransomware souffre d’un manque de sensibilisation ; 46 % des responsables des systèmes d’information ont récemment déclaré que le ransomware était leur principale préoccupation en matière de cybersécurité. Et pourtant, ils continuent de causer des dommages financiers et opérationnels.

Le problème tient en partie au fait que les ransomwares ont évolué et se sont diversifiés ces dernières années. Les attaquants sont passés de tactiques simples et entièrement automatisées, qu’il est assez facile de prévenir, à des tactiques plus ciblées et sophistiquées. Dans le même temps, la plupart des équipes de sécurité utilisent les mêmes vieilles tactiques pour tenter de prévenir les ransomwares – une approche qui n’est plus d’actualité.

Il est temps pour les organisations d’évoluer – et cela signifie qu’il faut aller au-delà d’une approche préventive qui tente d’empêcher un attaquant de ransomware de franchir les murs, et s’attacher plutôt à s’armer d’outils capables de détecter et de stopper une attaque dans son élan. Une chose est sûre, dans les paysages informatiques tentaculaires d’aujourd’hui, l’intelligence artificielle (IA) jouera un rôle décisif dans cette guerre contre les ransomwares.

Une menace qui se diversifie

Les premières formes de ransomware fonctionnaient sur pilote automatique et suivaient un modèle économique simple : infecter le plus d’ordinateurs possible, car une partie au moins des victimes paieront sûrement pour récupérer leurs fichiers. Ces ransomwares dits de commodité ont rapidement évolué pour rechercher et crypter des lecteurs de réseau entiers – le raisonnement étant que vous êtes de plus en plus susceptible de verrouiller quelque chose dont la victime ne peut se passer. Au cours de cette première évolution, les attaquants ont également commencé à cibler des organisations plutôt que des individus, car les entreprises sont plus susceptibles de payer des rançons plus importantes pour récupérer des fichiers critiques.

À partir de là, les rançongiciels de base ont été combinés avec des vers, de sorte qu’ils pouvaient désormais atterrir sur un seul système, puis infecter rapidement les systèmes voisins. Il s’agissait d’une avancée importante pour les attaquants, car il suffisait qu’une seule victime tombe sous le coup du courriel de phishing pour que les attaquants puissent se propager rapidement à des milliers d’autres machines. Bien qu’ils existent depuis de nombreuses années, les ransomwares de ce type restent une menace réelle. Tout le monde se souvient des dégâts causés par WannaCry il y a quelques années, qui a bloqué des centaines de milliers d’ordinateurs, tandis qu’en février de l’année dernière, un ransomware de commodité a mis hors service une installation de gaz naturel américaine pendant deux jours.

Les attaquants ont continué à intensifier leur jeu et à se diversifier, remplaçant les tactiques automatisées par des méthodes plus sophistiquées et ciblées. Ces attaques nécessitent souvent des semaines de planification et, après avoir pris pied, les attaquants adaptent manuellement leurs mouvements aux spécificités de l’environnement dans lequel ils se sont introduits. De telles tactiques ont été employées dans l’attaque réussie par ransomware visant JBS Foods, qui a été menée par l’un des « groupes cybercriminels les plus spécialisés et les plus sophistiqués au monde », selon le FBI.

Parallèlement à la diversification de l’attaque elle-même, le modèle économique du ransomware s’est également transformé en un modèle de franchise. Le franchiseur fournit les outils, les manuels de jeu et autres infrastructures d’attaque nécessaires, tandis que les franchisés utilisent ces services pour mener des attaques, en renvoyant un pourcentage de la rançon au franchiseur. À toutes fins utiles, les ransomwares sont devenus une industrie à part entière ; il n’est guère surprenant que les variantes sophistiquées exploitées par l’homme aient été identifiées par Microsoft comme « l’une des tendances les plus marquantes des cyberattaques actuelles ».

AI pour renforcer les rangs

Les variantes bien connues de ransomware de commodité peuvent généralement être bloquées à l’entrée si les équipes de sécurité ont accès à des indicateurs de compromission opportuns fournis par des flux d’informations sur les menaces. Même les nouveaux types de ransomware de base qui réussissent à contourner les mesures préventives ont généralement une portée assez limitée et peuvent être surmontés grâce à un bon processus de sauvegarde et de restauration. Il peut être plus difficile de contenir les variantes de ransomware de base qui évoluent plus rapidement, bien que dans ces cas, la micro-segmentation, la confiance zéro, le moindre privilège et d’autres contrôles basés sur des politiques constituent un arsenal décent pour contenir les épidémies.

Lorsqu’il s’agit des attaques de ransomware les plus ciblées, menées par des humains, le succès ne dépend plus de politiques normatives ou de configurations de sécurité renforcées axées sur la prévention. Bien qu’utiles jusqu’à un certain point, un attaquant suffisamment motivé finira par les surmonter. Dans ce cas, il faut cesser d’essayer d’empêcher l’inévitable et se concentrer sur la détection et l’arrêt des attaques réussies le plus tôt possible – et c’est là que l’IA entre en jeu.

Les estimations indiquant que la durée moyenne d’une attaque par ransomware est de 43 jours, l’IA devrait jouer un rôle décisif au sein de l’équipe de sécurité pour aider à débusquer la menace. Alors qu’une équipe d’analystes peut avoir besoin de plusieurs jours, voire de plusieurs semaines, l’IA peut rapidement, voire immédiatement, détecter le passage des attaquants dans les systèmes avant que le bouton de déploiement du ransomware ne soit actionné. En effet, l’IA peut contextualiser et consolider la grande variété de signaux et de marqueurs laissés par les attaquants lorsqu’ils se déplacent dans les systèmes pour atteindre leur objectif. L’IA peut rassembler toutes ces informations disparates en une seule image claire, ce qui signifie que les équipes de sécurité peuvent répondre efficacement aux menaces les plus critiques.

Conquérir le champ de bataille des ransomwares

Les ransomwares constituent toujours une menace sérieuse pour les entreprises et, si l’on en croit l’année 2021, ils ne sont pas près de disparaître. Les équipes de sécurité devraient prendre note des nombreux incidents récents très médiatisés liés aux ransomwares et les considérer comme une étude de cas de ce qui peut arriver si elles ne sont pas prêtes à faire face à la grande variété de menaces.

Si vous êtes la cible d’une attaque menée par un humain, il n’est tout simplement pas réaliste d’attendre des analystes de sécurité qu’ils couvrent tous les angles. Comme les opérateurs de ransomware continuent de se diversifier, les organisations devraient envisager d’ajouter à leur arsenal des moyens de détection des ransomwares alimentés par l’IA, afin de réduire considérablement le temps nécessaire pour repérer la menace.