Ivanti, éditeur d'Ivanti Neurons, plateforme d'automatisation permettant de découvrir, gérer, sécuriser et servir les biens IT du Cloud à la périphérie, annonce aujourd'hui les résultats du rapport Ransomware Spotlight Year End Report », rédigé avec Cyber Security Works, CNA (Certifying Numbering Authority), et Cyware, fournisseur leader de solutions de cyberfusion, de SOAR nouvelle génération et d'intelligence des menaces. Ce rapport identifie 32 nouvelles familles de ransomwares en 2021, ce qui fait un total de 157, soit une augmentation de 26 % par rapport à l'année précédente.
Le rapport montre également que les groupes de pirates utilisant le ransomware continuent à cibler les vulnérabilités sans correctif et à faire des armes des vulnérabilités Zero Day en un temps record pour lancer des attaques très « paralysantes » pour les organisations visées. Dans le même temps, ils élargissent leur champ d'action et trouvent de nouvelles façons d'infecter les réseaux d'entreprise pour déclencher, sans être inquiétés, des attaques à fort impact.
Voici certaines des principales observations et tendances mises en lumière par le rapport « Ransomware Spotlight Year End Report » :
- Les vulnérabilités sans correctif restent le vecteur d'attaque le plus fréquemment exploité par les groupes de pirates utilisant le ransomware. L'analyse révèle 65 nouvelles vulnérabilités liées au ransomware pour l'année écoulée, ce qui représente une augmentation de 29 % par rapport à l'année précédente et porte le nombre total de vulnérabilités associées au ransomware à 288. Ce qui est inquiétant, c'est que plus d'un tiers (37 %) de ces nouvelles vulnérabilités ont constitué des tendances actives sur le Dark Web et ont été exploitées plusieurs fois. Dans le même temps, 56 % des 223 vulnérabilités plus anciennes, identifiées avant 2021, sont toujours activement exploitées par les groupes de pirates utilisant le ransomware. Cela prouve que les entreprises doivent prioriser les vulnérabilités et appliquer des correctifs pour celles qui sont devenues des armes et que les groupes de pirates ciblent, qu'il s'agisse de vulnérabilités nouvellement identifiées ou plus anciennes.
- Les groupes de pirates utilisant le ransomware continuent à trouver et à exploiter des vulnérabilités Zero Day, avant même que les CVE soient ajoutées à la base National Vulnerability Database et avant la publication des correctifs. Les vulnérabilités QNAP (CVE-2021-28799), Sonic Wall (CVE-2021-20016), Kaseya (CVE-2021-30116) et, plus récemment, Apache Log4j (CVE-2021-44228) ont été exploitées avant même d'être inscrites dans la base National Vulnerability Database (NVD). Cette dangereuse tendance montre qu'il est indispensable pour les fournisseurs de faire preuve d'agilité dans la divulgation des vulnérabilités et la publication des correctifs dans l'ordre de priorité. Cela montre aussi que les entreprises doivent aller bien plus loin de la liste de la base NVD, et surveiller les tendances des vulnérabilités, les exemples d'exploitation, les conseils des fournisseurs et les alertes des agences de sécurité pour prioriser les vulnérabilités auxquelles appliquer des correctifs.
- Les groupes de pirates utilisant le ransomware ciblent de plus en plus les réseaux de distribution (Supply Chain) pour infliger un maximum de dommages et provoquer le chaos à grande échelle. Une seule infection de la Supply Chain peut ouvrir aux pirates plusieurs portes pour s'attaquer à la distribution des systèmes, avec comme victimes des centaines de réseaux. L'an dernier, des pirates se sont attaqués à des réseaux de chaîne d'approvisionnement via des applications tierces, des produits propres au fournisseur et des bibliothèques Open Source. Par exemple, le groupe REvil a pris pour cible la vulnérabilité CVE-2021-30116 du service de gestion à distance Kaseya VSA, en lançant un paquet de mise à jour malveillant qui a infecté tous les clients utilisant les versions sur site et à distance de la plateforme VSA.
- Les groupes de pirates au ransomware partagent de plus en plus souvent leurs services, comme s'il s'agissait d'offres de SaaS légitimes. Le ransomware en tant que service (en SaaS) est un modèle commercial où les développeurs de ransomware proposent leurs services, variants, kits ou code à d'autres pirates contre paiement. Les solutions d'exploitation en SaaS permettent aux pirates de louer des exploitations Zero Day auprès des développeurs. De plus, le dropper en SaaS permet à un pirate débutant de distribuer un malware via des programmes qui, lorsqu'on les exécute, peuvent lancer une charge de traitement malveillante sur l'ordinateur de la victime. Et le cheval de Troie en SaaS, également appelé malware en SaaS, permet à n'importe quel utilisateur doté d'une connexion Internet de se procurer et de déployer un malware personnalisé dans le Cloud, sans aucune installation.
Avec 157 familles de ransomwares qui exploitent 288 vulnérabilités, les groupes de pirates au ransomware sont en bonne position pour lancer des attaques à grande échelle dans les années à venir. Coveware indique en outre que les entreprises paient en moyenne 220 298 dollars et subissent 23 jours d'inactivité après une attaque par ransomware. Il faut donc lourdement insister sur la cyberhygiène. À l'avenir, l'automatisation de cette cyberhygiène va devenir toujours plus importante, surtout si les environnements continuent à se complexifier.
Srinivas Mukkamala, Senior Vice President of Security Products Ivanti, déclare : « Les groupes de pirates au ransomware sont de plus en plus sophistiqués et leurs attaques ont plus d'impact. Ces pirates utilisent de plus en plus souvent des kits d'outils automatisés pour exploiter les vulnérabilités et pénétrer plus en profondeurs les réseaux infectés. Ils diversifient aussi leurs cibles, et dirigent davantage d'attaques vers des secteurs critiques, perturbant la vie quotidienne et causant des dommages sans précédent. Les entreprises doivent être extrêmement vigilantes et appliquer sans tarder les correctifs des vulnérabilités utilisées comme armes. Pour ce faire, il faut combiner priorisation des vulnérabilités sur la base des risques et intelligence automatisée des correctifs, pour identifier et prioriser les vulnérabilités et accélérer leur élimination. »
Anuj Goel, P.-D.G. de Cyware, commente : « Le changement significatif que l'on observe dans tout le paysage du ransomware, c'est que les pirates cherchent à pénétrer des processus comme le déploiement des correctifs, autant qu'ils cherchent des failles dans la protection pour pénétrer les systèmes. La découverte des vulnérabilités doit être complétée d'une action qui considère les données de vulnérabilité comme une source d'intelligence pour orienter des décisions et réactions rapides. Comme les gangs au ransomware commercialisent leurs outils, méthodes et listes de cibles, il est essentiel que les équipes SecOps automatisent les processus afin d'autoréparer les biens et systèmes vulnérables pour limiter les risques, via l'opérationnalisation de l'intelligence en temps réel. »
Aaron Sandeen, P.-D.G. de Cyber Security Works, complète : « Le ransomware est dévastateur pour les clients et les collaborateurs, dans tous les secteurs ! En 2022, nous allons continuer à voir augmenter le nombre des nouvelles vulnérabilités, des types d'exploitations, des groupes APT, des familles de ransomwares, des catégories de CWE, ainsi que des modes d'exploitation des vulnérabilités pour attaquer les entreprises. Les responsables ont besoin d'une aide innovante et prédictive pour prioriser et éliminer les menaces de ransomware. »
Le rapport « Ransomware Index Spotlight Report » repose sur des données générées par différentes sources, y compris des données propriétaires appartenant à Ivanti et CSW, des bases de données de menaces disponibles pour le grand public, et les équipes de recherches sur les menaces et de tests de pénétration. Cliquez ici pour lire le rapport complet.
À propos d'Ivanti
Ivanti rend possible l'Everywhere Workplace. Dans l'Everywhere Workplace, les collaborateurs utilisent une multitude de périphériques pour accéder aux applications et données du département IT sur différents réseaux, afin de rester productifs en travaillant de partout. La plateforme d'automatisation Ivanti Neurons connecte les solutions Ivanti de gestion unifiée des terminaux (UEM), de sécurité Zero Trust et de gestion des services d'entreprise (ESM), leaders du marché, afin de créer une plateforme d'IT unifiée permettant l'autoréparation et l'autosécurisation des périphériques, et donnant du pouvoir aux utilisateurs via le self-service. Plus de 40 000 clients, dont 96 des entreprises Fortune 100, ont choisi Ivanti pour découvrir, gérer, sécuriser et servir leurs biens IT, du Cloud à la périphérie, ainsi que pour fournir une expérience utilisateur final d'excellence aux collaborateurs, où qu'ils se trouvent et quelle que soit la façon dont ils travaillent. Pour en savoir plus, visitez le site http://www.ivanti.fr/ et suivez @GoIvanti.
À propos de Cyware
Cyware is transforming security operations by delivering the cybersecurity industry's only Virtual Cyber Fusion Center Platform with next-generation SOAR (security orchestration, automation, and response) technology. As a result, organizations can increase speed and accuracy while reducing costs and analyst burnout. Cyware's Virtual Cyber Fusion solutions make secure collaboration, information sharing, and enhanced threat visibility a reality for enterprises, sharing communities (ISAC/ISAO), MSSPs, and government agencies of all sizes and needs. https://cyware.com/
À propos de CSW
CSW is a cybersecurity services company focused on attack surface management and penetration testing as a service. Our innovation in vulnerability and exploit research led us to discover 45+ zero days in popular products such as Oracle, D-Link, WSO2, Thembay, Zoho, etc., among others. We became a CVE Numbering Authority to enable thousands of bug bounty hunters and play a critical role in the global effort of vulnerability management. As an acknowledged leader in Vulnerability research and analysis CSW is ahead of the game helping organizations world-wide to secure their business from ever-evolving threats. For more information visit www.cybersecurityworks.com or follow us on LinkedIn and Twitter.