L’analyse des attaques détectées et neutralisées par la technologie CryptoGuard de Sophos indique une hausse de l’utilisation de ransomware distants de 62 % en un an.

PARIS, FR — décembre 20, 2023 —

Sophos, un leader mondial de la cybersécurité innovante « as a Service », annonce la publication d’une nouvelle étude intitulée « CryptoGuard: An Asymmetric Approach to the Ransomware Battle », selon laquelle certains groupes de ransomwares comptant parmi les plus prolifiques et les plus actifs —Akira,ALPHV/BlackCat,LockBit,Royal ou Black Basta — activent délibérément le mode « chiffrement à distance » pour lancer leurs attaques. Dans le cas des attaques utilisant le chiffrement à distance, également connues sous l’appellation « ransomware distants », les adversaires utilisent un système endpoint infecté et souvent insuffisamment protégé pour chiffrer des données sur d’autres appareils connectés au même réseau.

Acquise par Sophos en 2015*, la technologie anti-ransomware CryptoGuard est incluse dans l’ensemble des licences Sophos Endpoint. Sophos CryptoGuard surveille le chiffrement malveillant des fichiers et assure une protection et une restauration (roll-back) immédiates, même lorsque le ransomware proprement dit n’apparaît jamais sur un système hôte protégé. Cette technologie sans équivalent constitue une ultime ligne de défense dans la stratégie de protection multicouche déployée par Sophos, s’activant uniquement lorsqu’un adversaire la déclenche à une étape ultérieure de la chaîne d’attaque. Les attaques intentionnelles avec chiffrement à distance détectées par CryptoGuard ont augmenté de 62 % en variation annuelle depuis 2022.

« Dans les entreprises où plusieurs milliers d’ordinateurs peuvent être connectés, il suffit d’un seul appareil sous-protégé pour qu’un ransomware distant compromette l’ensemble du réseau. Les cyberattaquants le savent parfaitement et c’est pour cette raison qu’ils recherchent le « maillon faible » présent dans la plupart des entreprises. Le chiffrement à distance reste un problème constant pour les cyberdéfenseurs, car d’après les alertes que nous avons vues, cette méthode d’attaque est de plus en plus utilisée », a déclaré Mark Loman, vice-président de Sophos en charge des recherches sur les menaces et co-créateur de CryptoGuard.

Dans la mesure où ce mode d’attaque implique le chiffrement de fichiers à distance, les méthodes classiques de protection anti-ransomware mises en œuvre sur les appareils déportés ne sont pas en mesure de « voir » les fichiers malveillants ni leur activité, empêchant toute protection contre les tentatives de chiffrement non autorisées et les pertes de données potentielles. A contrario, la technologie CryptoGuard de Sophos adopte une approche originale pour stopper les ransomwares distants, comme l’explique l’article de Sophos X-Ops : l’analyse du contenu des fichiers permet de voir si des données ont été chiffrées dans le but de détecter la présence de ransomware sur n’importe quel appareil connecté au réseau, même en l’absence de malware sur l’appareil.

En 2013, CryptoLocker fut le premier ransomware prolifique à utiliser le chiffrement à distance avec chiffrement asymétrique (ou « à clé publique »). Depuis, les auteurs de menaces ont intensifié l’utilisation des rançongiciels, exploitant les multiples failles de sécurité que l’on trouve dans les entreprises du monde entier, ainsi que l’avènement des cryptomonnaies.

« Il y a dix ans, lorsque nous avons remarqué pour la première fois que CryptoLocker utilisait le chiffrement à distance, nous avons annoncé que cette tactique poserait de graves problèmes aux cyberdéfenseurs. D’autres solutions se concentrent sur la détection ou l’exécution de binaires malveillants. Dans le cas du chiffrement à distance, le malware et son exécution résident sur un ordinateur (non protégé) différent de celui sur lequel se trouvent les fichiers chiffrés. Le seul moyen d’arrêter le processus est de surveiller les fichiers et de les protéger. C’est pour cette raison que nous avons innové avec CryptoGuard », a ajouté Mark Loman.

« CryptoGuard ne chasse pas les ransomwares, mais se focalise sur leurs cibles principales, à savoir les fichiers. Notre outil soumet les documents à une analyse mathématique pour détecter les signes de manipulation et de chiffrement. Il est à noter que l’efficacité de cette stratégie autonome ne s’appuie délibérément pas sur des indicateurs de compromission, des signatures de menaces, l’intelligence artificielle, l’analyse du cloud et autres connaissances préalables. En nous concentrant sur les fichiers, nous pouvons modifier le rapport de force entre les cyberattaquants et les cyberdéfenseurs. Et en augmentant le coût et la complexité du chiffrement des données, nous amenons les cyberattaquants à abandonner leurs objectifs. C’est l’un des piliers de notre stratégie de défense asymétrique. »

« Les ransomwares distants constituent un problème majeur pour les entreprises et contribuent à la longévité des attaques par rançongiciel au sens large. Dans la mesure où la lecture des données est moins rapide sur une connexion réseau que sur un disque local, certains cyberattaquants commeLockBit ouAkira ne chiffrent stratégiquement qu’une fraction de chaque fichier. Cette approche vise à maximiser l’impact en un minimum de temps, réduisant davantage encore la fenêtre de détection de l’attaque et le délai de réaction des cyberdéfenseurs. L’approche de la lutte anti-ransomware mise en œuvre par Sophos permet de neutraliser les attaques à distance, mais également celles qui chiffrent seulement 3 % d’un fichier. Nous souhaitons que les entreprises utilisent cette méthode d’attaque persistante pour protéger leurs systèmes endpoint avec une efficacité optimale. »

Pour de plus amples informations, lire notre étudeCryptoGuard: An Asymmetric Approach to the Ransomware Battle sur le site www.Sophos.com.

*Pour en savoir plus sur…

 

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents (IR), ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.