Une série d’articles comprend des publications relatives à l’évolution des techniques d’évasion et aux 5 signes annonciateurs d’une attaque de ransomware

L’évolution rapide des comportements des cyberattaquants et le développement du travail à distance mettent en exergue le besoin urgent de mettre en place des niveaux de sécurité supplémentaires pour se prémunir contre les futures menaces

Paris — août 4, 2020 —

Sophos, leader mondial en solutions de cybersécurité Next-Gen publie sur SophosLab Uncut une série d’études concernant les réalités liées aux ransomwares. Celles-ci incluent un rapport sur les nouvelles techniques visant à éviter la détection utilisées lors d’attaques menées par WastedLocker, qui utilisent des E/S mappées en mémoire pour le chiffrement de fichiers. Un second article se penche sur la course aux nouvelles techniques d’évasion dans le domaine des ransomwares et révèle la manière dont, en quelques mois, les cybercriminels ont modifié et fait évoluer leurs techniques, tactiques et procédures (TTP) d’évasion, depuis l’apparition du ransomware Snatch, en décembre 2019.

Cette série d’articles détaille également les cinq signes avant-coureurs qui montrent qu’une entreprise est sur le point de subir une attaque de ransomware et les raisons pour lesquelles de telles attaques se poursuivent.

« La réalité, c’est que les ransomwares ne sont pas près de disparaître. Chez Sophos, nous avons vu des groupes de cyberattaquants comme WastedLocker révolutionner les tactiques d’évasion. Certains d’entre eux ont même trouvé le moyen de contourner les outils anti-ransomwares basés sur le comportement. C’est le dernier exemple en date de cyberattaquants qui se retroussent les manches et utilisent de nouvelles techniques visant à désactiver manuellement les logiciels, afin de préparer le terrain pour une attaque de ransomware généralisée. Des techniques furtives, comme l’exfiltration de données et la désactivation des sauvegardes, sont autant d’autres signes avant-coureurs. Plus les attaquants passent de temps sur le réseau, plus ils sont en mesure de provoquer des dégâts », déclare Chester Wisniewski, principal chercheur chez Sophos. « C’est pourquoi il est nécessaire de mettre à contribution l’intelligence et une intervention humaine afin de détecter et de neutraliser les signes annonciateurs d’une attaque. Il est impératif que les entreprises soient informées de cette tendance à la hausse et qu’elles renforcent leur périmètre de défenses en désactivant les outils d’accès à distance, comme les protocoles de bureau à distance (RDP) lorsque cela est possible, afin d’interdire aux criminels l’accès à leur réseau, un dénominateur commun à de nombreuses attaques de ransomwares analysées par Sophos. »

La combinaison entre ces changements dans le comportement des attaquants et le développement des environnements de travail à distance ou hybrides, conséquence de la pandémie du COVID-19, indique que les entreprises doivent faire de la sécurité de leurs systèmes d’informations une priorité. Il est également nécessaires que celles-ci mettent en place des mesures de sécurité pour se prémunir contre les menaces futures et anticiper les attaques d’adversaires qui ne cessent de s’adapter et de repousser les limites, profitant de la surface d’attaque étendue en raison de la crise du COVID-19.

La série d’études publiée par Sophos comprend

  • The realities of ransomware: extortion goes social
  • WastedLocker’s techniques point to a familiar heritage
  • Ransomware’s evasion-centric arms race
  • 5 signs you’re about to be hit by ransomware
  • Ransomware: why it’s not just a passing fad

Conseils à appliquer dès à présent pour protéger le système

  • Désactiver les RDP connectés à Internet pour empêcher les cybercriminels d’accéder au réseau
  • Si besoin d’accéder à un RDP, il est recommandé d’utiliser une connection VPN
  • Mettre en place des couches de sécurité supplémentaires, telles que la technologie endpoint detection and response (EDR) et des équipes d’intervention qui surveillent le réseau en permanence, afin de prévenir et de détecter les menaces tout en protégeant
  • Prendre connaissance des cinq signes avant-coureurs qui indiquent la présence d’un cyberattaquant sur le réseau afin de tuer dans l’œuf les attaques par ransomwares

Des chercheurs issus de SophosLabs et de Sophos Managed Threat Response ont contribué à cette série. Pour plus d’informations, veuillez consulter SophosLabs Uncut et Sophos News.

Ressources annexes

Ressources sur la cybersécurité dans le cadre de la crise du COVID-19

  • SophosLabs a identifié plusieurs campagnes d’emailing malveillantes en lien avec le COVID-19. Les nouveaux éléments sont publiés en continu sur Uncut blog. Suivez le blog de SophosLabs sur Twitter pour les dernières découvertes exclusives :  @SophosLabs
  • Sophos News propose des conseils et des ressources gratuites pour aider les télétravailleurs à faire face à l’enjeu tech et sécurité (Cybersecurity guidance during the coronavirus pandemic)
  • Naked Security propose des conseils de sécurité sur le travail à distance, les outils de vidéoconférence et autres sujets, ainsi que les dernières actualités du secteur. Cliquez ici pour accéder facilement à tous les articles de Naked Security en lien avec le coronavirus.

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de cybersécurité avancées, qui comprend des services managés de détection et réponse (MDR) et de réponse aux incidents, ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud contre les cyberattaques. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 500 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central basée dans le Cloud et sont alimentés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. L’intelligence de Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un datalake centralisé exploitant un ensemble riche d’API ouvertes à destination des clients, des partenaires, des développeurs et des autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité clés en main et entièrement gérées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services gérés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.