Une série d’articles comprend des publications relatives à l’évolution des techniques d’évasion et aux 5 signes annonciateurs d’une attaque de ransomware

L’évolution rapide des comportements des cyberattaquants et le développement du travail à distance mettent en exergue le besoin urgent de mettre en place des niveaux de sécurité supplémentaires pour se prémunir contre les futures menaces

Paris — août 4, 2020 —

Sophos, leader mondial en solutions de cybersécurité Next-Gen publie sur SophosLab Uncut une série d’études concernant les réalités liées aux ransomwares. Celles-ci incluent un rapport sur les nouvelles techniques visant à éviter la détection utilisées lors d’attaques menées par WastedLocker, qui utilisent des E/S mappées en mémoire pour le chiffrement de fichiers. Un second article se penche sur la course aux nouvelles techniques d’évasion dans le domaine des ransomwares et révèle la manière dont, en quelques mois, les cybercriminels ont modifié et fait évoluer leurs techniques, tactiques et procédures (TTP) d’évasion, depuis l’apparition du ransomware Snatch, en décembre 2019.

Cette série d’articles détaille également les cinq signes avant-coureurs qui montrent qu’une entreprise est sur le point de subir une attaque de ransomware et les raisons pour lesquelles de telles attaques se poursuivent.

« La réalité, c’est que les ransomwares ne sont pas près de disparaître. Chez Sophos, nous avons vu des groupes de cyberattaquants comme WastedLocker révolutionner les tactiques d’évasion. Certains d’entre eux ont même trouvé le moyen de contourner les outils anti-ransomwares basés sur le comportement. C’est le dernier exemple en date de cyberattaquants qui se retroussent les manches et utilisent de nouvelles techniques visant à désactiver manuellement les logiciels, afin de préparer le terrain pour une attaque de ransomware généralisée. Des techniques furtives, comme l’exfiltration de données et la désactivation des sauvegardes, sont autant d’autres signes avant-coureurs. Plus les attaquants passent de temps sur le réseau, plus ils sont en mesure de provoquer des dégâts », déclare Chester Wisniewski, principal chercheur chez Sophos. « C’est pourquoi il est nécessaire de mettre à contribution l’intelligence et une intervention humaine afin de détecter et de neutraliser les signes annonciateurs d’une attaque. Il est impératif que les entreprises soient informées de cette tendance à la hausse et qu’elles renforcent leur périmètre de défenses en désactivant les outils d’accès à distance, comme les protocoles de bureau à distance (RDP) lorsque cela est possible, afin d’interdire aux criminels l’accès à leur réseau, un dénominateur commun à de nombreuses attaques de ransomwares analysées par Sophos. »

La combinaison entre ces changements dans le comportement des attaquants et le développement des environnements de travail à distance ou hybrides, conséquence de la pandémie du COVID-19, indique que les entreprises doivent faire de la sécurité de leurs systèmes d’informations une priorité. Il est également nécessaires que celles-ci mettent en place des mesures de sécurité pour se prémunir contre les menaces futures et anticiper les attaques d’adversaires qui ne cessent de s’adapter et de repousser les limites, profitant de la surface d’attaque étendue en raison de la crise du COVID-19.

La série d’études publiée par Sophos comprend

  • The realities of ransomware: extortion goes social
  • WastedLocker’s techniques point to a familiar heritage
  • Ransomware’s evasion-centric arms race
  • 5 signs you’re about to be hit by ransomware
  • Ransomware: why it’s not just a passing fad

Conseils à appliquer dès à présent pour protéger le système

  • Désactiver les RDP connectés à Internet pour empêcher les cybercriminels d’accéder au réseau
  • Si besoin d’accéder à un RDP, il est recommandé d’utiliser une connection VPN
  • Mettre en place des couches de sécurité supplémentaires, telles que la technologie endpoint detection and response (EDR) et des équipes d’intervention qui surveillent le réseau en permanence, afin de prévenir et de détecter les menaces tout en protégeant
  • Prendre connaissance des cinq signes avant-coureurs qui indiquent la présence d’un cyberattaquant sur le réseau afin de tuer dans l’œuf les attaques par ransomwares

Des chercheurs issus de SophosLabs et de Sophos Managed Threat Response ont contribué à cette série. Pour plus d’informations, veuillez consulter SophosLabs Uncut et Sophos News.

Ressources annexes

Ressources sur la cybersécurité dans le cadre de la crise du COVID-19

  • SophosLabs a identifié plusieurs campagnes d’emailing malveillantes en lien avec le COVID-19. Les nouveaux éléments sont publiés en continu sur Uncut blog. Suivez le blog de SophosLabs sur Twitter pour les dernières découvertes exclusives :  @SophosLabs
  • Sophos News propose des conseils et des ressources gratuites pour aider les télétravailleurs à faire face à l’enjeu tech et sécurité (Cybersecurity guidance during the coronavirus pandemic)
  • Naked Security propose des conseils de sécurité sur le travail à distance, les outils de vidéoconférence et autres sujets, ainsi que les dernières actualités du secteur. Cliquez ici pour accéder facilement à tous les articles de Naked Security en lien avec le coronavirus.

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7.
Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.
Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations.  Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.