Ivanti, créateur d'Ivanti Neurons, plateforme d'automatisation permettant de découvrir, gérer, sécuriser et servir les actifs IT du Cloud à la périphérie, annonce aujourd'hui les résultats du rapport « Ransomware Index Report Q2-Q3 2022 » (Rapport d'indice des ransomwares), suite à une enquête menée avec la CNA (Certifying Numbering Authority) Cyber Security Works et avec Cyware, fournisseur leader de la plateforme technologique servant à créer des centres de cyberfusion. Le rapport révèle que les ransomwares ont augmenté de 466 % depuis 2019 et qu'ils sont de plus en plus utilisés comme précurseurs d'une guerre physique, comme on l'a vu dans le conflit russe en Ukraine, et la cyberguerre entre l'Iran et l'Albanie.
Les groupes de ransomwares continuent à gagner en volume et en sophistication : 35 vulnérabilités étaient associées aux ransomwares au cours des trois premiers trimestres 2022 et il existe 159 exploitations actives en vogue. Pour compliquer les choses, le manque de données suffisantes et de contexte des menaces fait qu'il est difficile pour les entreprises d'appliquer efficacement des correctifs à leurs systèmes et d'atténuer correctement l'exposition aux vulnérabilités.
Le rapport identifie 10 nouvelles familles de ransomwares (Black Basta, Hive, BianLian, BlueSky, Play, Deadbolt, H0lyGh0st, Lorenz, Maui et NamPoHyu), ce qui fait un total de 170. Avec 101 CVE à hameçonner, les pirates aux ransomwares s'appuient de plus en plus sur des techniques de phishing pour attirer des victimes sans méfiance afin de diffuser leur charge de traitement malveillante. Pegasus en est un exemple parlant : un simple message de phising a été utilisé pour créer l'accès initial par porte dérobée, associé à des vulnérabilités iPhone, ce qui conduit à l'infiltration et à la mise en danger de nombreuses personnalités du monde entier.
Les ransomwares ont besoin d'une interaction humaine. Le fait que le phishing soit le seul vecteur d'attaque est faux. Ivanti a analysé 323 vulnérabilités de ransomware actuelles (dans le cadre du MITRE ATT&CK Framework) et a les mis en correspondance avec des tactiques, techniques et procédures exactes pouvant servir de chaîne de mise à mort (kill chain) pour attaquer une entreprise. Ivanti a aussi constaté que 57 d'entre elles conduisent à une prise de contrôle complète du système, de l'accès initial jusqu'à l'exfiltration.
Le rapport identifie également deux nouvelles vulnérabilités de ransomware (CVE-2021-40539 et CVE-2022-26134), qui ont toutes deux été exploitées par des familles de ransomwares prolifiques, comme AvosLocker et Cerber, avant ou le jour même de leur inclusion à la base de données NVD (National Vulnerability Database) . Ces statistiques soulignent que, si les entreprises s'appuient uniquement sur la divulgation de la base NVD pour corriger les vulnérabilités, elles sont susceptibles de se faire attaquer.
Le rapport montre que, dans le catalogue des vulnérabilités exploitées connues (KEV) de la CISA, qui fournit aux entreprises du secteur public et aux agences gouvernementales des États-Unis la liste des vulnérabilités à corriger dans un délai précis, il manque 124 vulnérabilités de ransomware.
Srinivas Mukkamala, Chief Product Officer chez Ivanti, explique : « Pour mieux se protéger des ransomwares et autres menaces, les équipes IT et Sécurité doivent adopter de toute urgence une approche de la gestion des vulnérabilités basée sur les risques. Cela implique de faire appel à des technologies d'automatisation capables de corréler les données de plusieurs sources (scanners de réseau, bases de données de vulnérabilités internes et externes, et tests de pénétration), de mesurer les risques, d'émettre une alerte précoce en cas de militarisation, de prévoir les attaques et de prioriser les activités de remédiation. Les entreprises qui continuent à s'appuyer sur des pratiques traditionnelles de gestion des vulnérabilités, comme se limiter à consulter la base NVD et autres bases de données publiques pour prioriser les vulnérabilités et appliquer les correctifs, resteront en grand danger de subir une cyberattaque. »
Et la nécessité d'aller au-delà des pratiques traditionnelles de gestion des vulnérabilités est renforcée par le fait que les scanners populaires passent à côté de certaines vulnérabilités. Le rapport montre que 18 vulnérabilités liées aux ransomwares ne sont pas détectées par les scanners les plus courants.
Aaron Sandeen, PDG de Cyber Security Works, dit : « C'est très inquiétant, si les scanners dont vous dépendez n'identifient pas les vulnérabilités exposées. Les entreprises doivent adopter une solution de gestion de la surface d'attaque capable de découvrir les expositions pour tous les actifs de l'entreprise. »
De plus, le rapport analyse l'impact des ransomwares sur les infrastructures critiques, les trois secteurs les plus touchés étant la santé, l'énergie et l’industrie de fabrication de produits essentiels. Le rapport montre que 47,4 % des vulnérabilités de ransomware affectent les systèmes de santé, que 31,6 % affectent les systèmes énergétiques et que 21,1 % affectent la fabrication critique.
Anuj Goel, co-fondateur et PDG de Cyware, déclare : « Même si les stratégies de récupération après incident se sont améliorées au fil du temps, le vieil adage selon lequel mieux vaut prévenir que guérir sonne toujours vrai. Pour correctement analyser le contexte de menaces et prioriser efficacement les actions d'atténuation proactive, l'intelligence des vulnérabilités destinée aux SecOps doit être opérationnalisée via une orchestration résiliente des processus de sécurité, afin de garantir l'intégrité des actifs vulnérables. »
Le rapport donne un aperçu des tendances actuelles et futures sur les ransomwares. Notamment, il indique que la demande de logiciels malveillants multiplateformes a explosé, car les opérateurs de ransomwares peuvent ainsi cibler facilement plusieurs systèmes d'exploitation via une seule base de code. Le rapport révèle également un nombre important d'attaques contre des fournisseurs tiers de solutions de sécurité et de bibliothèques de codes logiciels, entraînant une pléthore de victimes potentielles. À l'avenir, les entreprises peuvent s'attendre à voir de nouveaux gangs de pirates aux ransomwares émerger, puisque des groupes importants comme Conti et DarkSide sont supposément fermés. Ces nouveaux gangs vont sans doute réutiliser ou modifier le code source et les méthodes d'exploitation qu'avaient adoptés ces groupes disparus.
Le rapport « Ransomware Index Spotlight Report » repose sur des données générées par différentes sources, y compris des données propriétaires appartenant à Ivanti et CSW, des bases de données de menaces disponibles pour le grand public, et les équipes de recherches sur les menaces et de tests de pénétration. Cliquez ici pour lire le rapport complet.
À propos d'Ivanti
Ivanti rend possible l'Everywhere Workplace. Dans l'Everywhere Workplace, les collaborateurs utilisent une multitude de périphériques pour accéder aux données et aux applications du département IT sur différents réseaux, afin de rester productifs en travaillant de partout. La plateforme d'automatisation Ivanti Neurons connecte les solutions Ivanti de gestion unifiée des terminaux (UEM), de cybersécurité et de gestion des services d'entreprise (ESM), leaders du marché, afin de créer une plateforme IT unifiée permettant l'autoréparation et l'autosécurisation des périphériques, et le self-service aux utilisateurs. Plus de 45 000 clients, dont 96 des entreprises Fortune 100, ont choisi Ivanti pour découvrir, gérer, sécuriser et servir leurs actifs IT, du Cloud à la périphérique, ainsi que pour fournir une expérience utilisateur final d'excellence aux collaborateurs, où qu'ils se trouvent et quelle que soit la façon dont ils travaillent. Pour en savoir plus, visitez le site www.ivanti.com et suivez-nous sur Twitter (@GoIvanti).
À propos de Cyware
Cyware aide les équipes de cybersécurité des entreprises à créer des centres de cyberfusion indépendants de la plateforme, en fournissant des informations sur les cybermenaces et des solutions SOAR (sécurité : orchestration, automatisation et réponse) nouvelle génération. Les entreprises deviennent ainsi plus rapides et plus précises, tout en réduisant leurs coûts et en allégeant la charge de travail des analystes. Les solutions de cyberfusion Cyware font de la collaboration sécurisée, du partage d'informations et de l'amélioration de la visibilité des menaces une réalité pour les MSSP, entreprises, entités gouvernementales et communautés de partage (ISAC/ISAO/CERT et autres), quels que soient leurs besoins et leur taille. Visitez le site cyware.com pour en savoir plus, ou suivez-nous sur LinkedIn et Twitter.
À propos de CSW
CSW est une entreprise de services de cybersécurité dont le cœur de métier est la gestion de la surface d'attaque et les tests de pénétration en tant que service. Nos innovations en matière de recherche des vulnérabilités et de leurs exploitations nous ont permis de découvrir plus de 45 Zero Days dans des produits populaires, notamment Oracle, D-Link, WSO2, Thembay, Zoho, etc. Nous sommes devenus une autorité de numérotation des CVE, qui donne des moyens à des milliers de « chasseurs de prime » des bugs, et joue un rôle critique dans l'effort mondial de gestion des vulnérabilités. Leader reconnu des recherches et analyses des vulnérabilités, CSW a toujours un temps d'avance, pour aider les entreprises du monde entier à sécuriser leurs activités face à des menaces qui évoluent sans cesse. Pour en savoir plus, visitez le site www.cybersecurityworks.com, ou suivez-nous sur LinkedIn et Twitter.