Alerte du FBI : double attaque de ransomware
Ces derniers temps, menaces de cybersécurité et les doubles incidents de ransomware ont évolué, affectant les organisations du monde entier. Le Federal Bureau of Investigation (FBI) a lancé un avertissement concernant une tendance inquiétante relative aux double attaque de ransomware montée en puissance. Ces attaques utilisent de multiples souches de ransomware pour cibler les réseaux des victimes dans le but de crypter les systèmes essentiels en moins de 48 heures. Cette nouvelle technique a des conséquences majeures pour les entreprises, car elle entraîne la perte de données, des dommages monétaires sous la forme de paiements de rançons et des perturbations potentielles de l'activité.
Comprendre la double attaque de ransomware
L'alerte du L'alerte du FBI sur les doubles attaques de ransomware indique une tendance inquiétante qui se manifeste depuis le juillet 2023. Les affiliés et les opérateurs de ransomwares utilisent une approche double dans leurs attaques, en déployant deux variantes distinctes. AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum et Royal figurent parmi ces versions. Lorsque ces deux versions de ransomware fonctionnent ensemble, elles créent un mélange mortel de cryptage et d'exfiltration de données, ainsi que d'importantes pertes financières dues au paiement de rançons. pertes financières importantes liées au paiement des rançons.
Les cybercriminels ciblent avec un double ransomware montrent clairement que ces pirates deviennent de plus en plus sophistiqués dans leurs tactiques. Traditionnellement, les groupes de ransomware avaient besoin d'au moins 10 jours pour mener à bien leurs attaques. Cependant, le paysage a radicalement changé. La majorité des ransomware se produisent désormais dans les 48 heures, ce qui constitue un changement important par rapport au passé. Cette rapidité accrue représente un risque important pour les organisations, qui n'ont que peu de temps pour réagir efficacement.
Le défi permanent du double cryptage
La récente mise en garde du FBI sur les ransomwares nous rappelle brutalement que les cybercriminels évoluent dans un environnement de plus en plus menaçant. Le double cryptage n'est pas un concept nouveau, et certains acteurs de la menace l'emploient depuis de nombreuses années. MedusaLocker et Globemposter, par exemple, sont fréquemment utilisés par les mêmes acteurs contre une seule victime. En outre, les courtiers d'accès initial peuvent fournir un accès au réseau à plusieurs filiales de ransomware, chacune utilisant une marque distincte de ransomware. Les deux filiales attaquent alors le réseau en succession rapide, ce qui aggrave encore le processus de récupération.
Tactiques d'évasion et destruction des données
Les gangs de ransomware ont commencé à améliorer leurs outils propriétaires de vol de données, leurs wipers et leurs logiciels malveillants pour éviter d'être détectés au début de l'année 2022. Dans certains cas, les logiciels malveillants dotés d'une fonction d'effacement des données restent en sommeil sur les systèmes compromis jusqu'à un moment prédéterminé, où ils s'activent, provoquant la destruction périodique des données sur le réseau de la cible.
Un équipementier automobile a subi trois brèches différentes en moins de deux mois, ce qui démontre la gravité de ces doubles attaques de ransomware. Ces attaques ont été menées par des filiales de LockBit, Hive et ALPHV/BlackCat, ce qui a provoqué un véritable chaos et de graves pertes de données. Pire encore, certains fichiers ont été cryptés jusqu'à cinq fois parce que des groupes différents ont continué à localiser et à crypter les mêmes fichiers.
Se défendre contre les doubles attaques de ransomware
La protection contre les doubles attaques de ransomware est cruciale pour les entreprises qui cherchent à sauvegarder leurs données et à assurer la continuité de leurs activités. Le FBI fournit conseils utiles sur la manière de se prémunir contre les attaques de ransomware :
- Collaborer avec les bureaux locaux du FBI : Développer des relations étroites avec les bureaux locaux du FBI dans votre région vous aidera à découvrir les vulnérabilités et à atténuer les risques potentiels. Ces relations peuvent s'avérer très utiles pour répondre aux situations de ransomware.
- Mettre en œuvre les mesures d'atténuation : Suivez les mesures d'atténuation décrites dans la notification du FBI à l'industrie privée. Ces méthodes peuvent réduire le risque d'attaques par ransomware en limitant l'utilisation par les attaquants des techniques standard de découverte des systèmes et des réseaux.
- Maintenir le système en état de marche : Mettez régulièrement à jour tous les systèmes et effectuez des analyses approfondies de votre infrastructure afin de découvrir les portes dérobées ou les vulnérabilités créées par les attaquants.
- Accès à distance sécurisé : Sécuriser les services tels que VNC et RDP qui n'autorisent l'accès que par VPN, avec une application stricte des mots de passe et une authentification multifactorielle (MFA).
- Mettre en œuvre la segmentation du réseau : Isolez les serveurs importants dans des VLAN pour améliorer la sécurité et limiter les mouvements latéraux des attaquants.
- Analyses et audits complets : Effectuez des analyses et des audits approfondis sur l'ensemble de votre réseau afin de découvrir les dispositifs susceptibles d'être affectés par des correctifs manquants.
Conclusion
L'augmentation L'augmentation des incidents de ransomware à double entrée nécessite une vigilance accrue et des mesures de protection efficaces. Pour lutter contre ces dangers croissants, les organisations doivent rester vigilantes, collaborer avec les autorités chargées de l'application de la loi, telles que le FBI, et déployer de manière proactive des pratiques de sécurité. Protéger vos systèmes contre les ransomwares va bien au-delà de la simple sécurité des données ; il s'agit également de garantir la continuité des activités et de minimiser l'impact dévastateur des cyberattaques.
Les sources de cet article comprennent des articles dans The Hacker News et Bleeping Computer.