Support technique
Documentation
Connexion
Nous contacter
Exfiltration de données : La nouvelle version plus sombre du ransomware
Joao Correia
21 septembre 2022 - Évangéliste technique
Les ransomwares sont devenus une menace si courante au cours des dernières années que les entreprises anticipent de se retrouver un jour ou l'autre face à une attaque. Néanmoins, le manque de préparation adéquate des victimes est encore à l'origine de nombreuses attaques, tandis que le prix élevé des crypto-monnaies a ajouté de l'huile sur le feu.
De nombreux acteurs de la menace dans le monde entier se sont lancés dans l'action des ransomwares, ce qui a entraîné une croissance rapide car les entreprises ont ouvert la porte à l'extorsion en raison d'une sécurité insuffisante, d'une gestion des correctifs peu rigoureuse et de sauvegardes qui ne fonctionnent tout simplement pas.
Si les rançongiciels ne sont pas près de disparaître, ils perdent un peu de leur attrait pour les criminels. Cela s'explique en partie par le fait que certaines organisations parviennent à mieux défendre leurs actifs technologiques et que la baisse de la valeur des cryptomonnaies a réduit les gains.
En cherchant une autre opportunité, les acteurs de la menace se sont concentrés sur quelque chose de plus dangereux que les ransomwares : l'exfiltration de données.
Qu'est-ce qui pourrait être une plus grande menace que le cryptage des données.... ?
L'exfiltration de données - ou simplement exfiltration - devient une menace de plus en plus courante. Nous avons remarqué sa prévalence croissante au début de l'année, lorsque des attaques ont été menées contre Microsoft, Nvidia et d'autres grandes entreprises technologiques.
Prenez l'attaque de cette année contre Nvidia, par exemple. Le groupe de menaces Lapsus$ a entraîné Nvidia dans un échange complexe au cours duquel le fabricant de puces était menacé d'exposer publiquement le code source de sa technologie propriétaire Deep Learning Super Sampling (DLSS). Si le code de Nvidia était publié, la position concurrentielle de l'entreprise s'en trouverait considérablement affaiblie.
Et c'est ce qu'est l'exfiltration. Au lieu de se concentrer sur le cryptage des données et la menace de perte de données, les attaques d'exfiltration consistent à exposer au public des données conséquentes et privées. L'étape suivante est similaire à celle du ransomware : l'attaquant extorque la victime en menaçant de rendre les données publiques ou de les vendre à un tiers.
En effet, Soixante-dix pour cent des attaques par ransomware comportent désormais une menace de fuite des données exfiltrées par le ransomware. Ce chiffre est en hausse de 43 % par rapport au trimestre précédent, ce qui confirme que la menace d'exfiltration de données fait désormais partie de la nouvelle norme en matière de ransomware.
Dans de nombreux cas, l'exfiltration est une menace beaucoup plus importante.
Dans le secteur des technologies, les technologies propriétaires constituent un avantage concurrentiel essentiel. Le fonctionnement de cette technologie - ou son code source - a une valeur incroyable. Des concurrents qui accèdent à des secrets commerciaux peuvent complètement saper l'entreprise qui a initialement développé la technologie.
Et il ne s'agit pas seulement de la technologie propriétaire elle-même - il s'agit de processus commerciaux confidentiels, d'algorithmes, d'enregistrements de conférences téléphoniques... et cela concerne tous les secteurs.
Il n'est pas difficile de voir que les acteurs malveillants qui accèdent à ces informations peuvent représenter une menace réelle et très inquiétante : celle de priver une entreprise de son avantage concurrentiel. C'est un danger bien plus important que les rançongiciels : des données perdues sont des données perdues et rien de plus. Souvent, ces données peuvent être récupérées dans une certaine mesure, et des pratiques sont mises en place pour réduire l'impact de ce type d'attaque. Les fuites d'informations, en revanche, peuvent causer beaucoup plus de dégâts.
L'exfiltration comporte également un facteur de complication transfrontalier. L'exfiltration d'informations est de plus en plus le résultat de l'état complexe du monde actuel. Il existe une demande importante de transfert de propriété intellectuelle d'un pays à l'autre - au-delà des lignes géopolitiques concurrentes. En outre, certains pays peuvent même se montrer "indulgents" à l'égard des acteurs locaux de la menace qui concentrent leurs attaques de l'autre côté de la ligne géopolitique.
Exfil a un autre aspect intéressant
L'un des thèmes qui animent le jeu de l'exfiltration d'informations est la façon dont les acteurs malveillants choisissent de plus en plus de rester indétectés le plus longtemps possible. Les équipes de cybersécurité ont remarqué ce comportement depuis un certain temps - les acteurs de la menace s'attardent beaucoup plus longtemps dans un système avant de révéler leur présence.
Cela contraste totalement avec les actions passées qui consistaient à faire clignoter un message "vous avez été piraté" sur l'écran. En adoptant cette approche, l'attaquant dispose de plus de temps pour observer la manière dont les informations circulent sur un réseau, et effectue une reconnaissance plus intensive - avec plus d'opportunités de trouver les éléments juteux. Le fait de s'attarder discrètement pendant plus longtemps offre plus de possibilités de nuire.
Tout comme les ransomwares, vous pouvez vous protéger contre l'exfiltration des données.
Les stratégies de cybersécurité contre les ransomwares protègent également contre l'extorsion par exfiltration - c'est juste qu'il est aujourd'hui encore plus important pour les entreprises de prendre ces mesures. De nombreuses entreprises ont mis en place une protection contre les ransomwares - stratégies de sauvegarde et accès plus fin aux systèmes et aux données, par exemple.
Ces mesures sont toujours efficaces contre les ransomwares et constituent un puissant moyen de dissuasion contre les attaques motivées par l'exfiltration d'informations. Comme nous l'avons suggéré à maintes reprises, cela inclut l'une des parties les plus critiques de la gestion des risques de cybersécurité : maintenir vos systèmes patchés de manière cohérente, car les patches ferment de nombreuses voies faciles vers une cyberattaque réussie.
Cependant, les correctifs traditionnels qui reposent sur des fenêtres de maintenance ne suffisent plus. Il n'est tout simplement pas assez réactif face aux menaces qui évoluent rapidement. En lieu et place, envisagez l'application de correctifs en direct de TuxCare.
Notre solution KernelCare Enterprise protège immédiatement vos charges de travail contre les menaces, en éliminant le décalage causé par les fenêtres de maintenance - et en réduisant les possibilités pour les attaquants de trouver un moyen d'entrer. Pour en savoir plus sur ce que KernelCare Enterprise peut faire, cliquez ici..
