Les ransomware et ransomOps représentent aujourd’hui l’une des principales menaces numériques qui pèsent sur les organisations. Dans quelle mesure les outils basés sur l’intelligence artificielle (IA) constituent-ils le moyen actuellement le plus efficace de lutter contre leurs méfaits ?
Au cours de l'année dernière, le secteur de l’IT a assisté à une importante augmentation des demandes de rançons, avec un affinage des pratiques. Alors que les attaques par ransomware suivent le modèle du « spray and pray » selon lequel il est d’usage d’ « arroser large », les ransomOps sont des attaques plus sophistiquées, ciblées, de type APT, souvent associées à des États-nations, mais qui peuvent aussi être le modus operandi de mauvais acteurs cherchant à maximiser l'impact financier sur une cible spécifique.
Plusieurs attaques de ce genre ont récemment marqué les esprits : incident de l'US Colonial Pipeline, attaque contre le Ministère de la Santé irlandais ou encore attaque éclair de DarkSide contre le distributeur allemand de produits chimiques Brenntag. À l'heure où vous lisez ces lignes, des milliers d'acteurs malveillants utilisent des souches éprouvées ou conçoivent les prochaines variantes de ransomwares pour extorquer des sommes considérables à des cibles peu méfiantes.
Le plan d’attaque des cybercriminels
Comment cela se passe-t-il ? Tout d’abord, les acteurs malveillants évaluent les potentiels gains à distance, en étudiant leur modèle économique et en déterminant à quel point un gel d’activité serait dommageable pour leur cible. Les attaquants estiment ensuite la probabilité d'un paiement et calculent le montant de la rançon. Le ransomware qu’ils vont utiliser peut être acquis pour seulement 300 dollars sur le Dark Web… Une fois qu'ils ont pénétré dans le système de leur cible, les attaquants de ransomware poursuivent leur analyse, évaluant les applications et les données à crypter. Le cryptage total des processus et des fichiers signifie de nos jours l'arrêt complet des opérations commerciales pour toute entreprise touchée. Au sein de l’organisation touchée, les équipes de sécurité entrent immédiatement en action. Elles doivent arrêter l'attaque en cours tout en restaurant les opérations numériques : la tâche est difficile. Il n'est pas non plus facile de déterminer la source de l'incursion pour éviter qu'elle ne se reproduise. Et malheureusement, le paiement de la rançon ne garantit pas pour autant la livraison de la clé de déchiffrement. En l'absence de plans d'urgence extrêmement solides, les victimes de ransomwares subissent des temps d'arrêt prolongés, des pertes de données et des chocs financiers majeurs.
Comment atténuer les risques d’une telle menace ?
La détection précoce est la clé de l'atténuation des dommages. Si les hôtes infectés sont rapidement mis de côté, les équipes ou processus en charge de la remédiation peuvent se mettre au travail pour isoler et supprimer la souche de la compromission. Aujourd’hui cette tâche peut être confiée à des outils d'automatisation seuls capables de contrer la rapidité de propagation des ransomwares. Les plateformes qui supervisent l'ensemble du réseau sont les mieux placées pour prendre des décisions automatiques qui permettront de prévenir efficacement les dommages et les pertes. De solides politiques de gestion des identités peuvent également contribuer à endiguer le phénomène si l'on a pris soin de s'assurer que seuls quelques privilégiés ont accès aux zones les plus sensibles de l'infrastructure informatique. Le ransomware doit se contenter des informations d'identification délivrées à l'utilisateur ou à l'application qui lui a permis de s’implanter. La surveillance de l’activité des comptes à hauts privilèges fait aussi partie des fonctions automatisables. Les équipes de sécurité disposent ainsi d’automates de détection infatigables et très efficaces. Ils peuvent juguler toute tentative d’implantation dans le S.I. dès ses premiers agissements. Les attaques sont interrompues avant qu’elles n’aient le temps de s’organiser en ransomware.
Une nouvelle tactique de combat : la détection et la réponse aux menaces réseau basées sur l'IA
Ces bonnes pratiques font partie d'une approche de la détection et de la réponse aux menaces basée sur l'IA. En abordant le problème des ransomwares sous l’angle des dynamiques comportementales à l’œuvre au sein de l’organisation, nous laissons de côté la tactique qui consiste à rechercher le ransomware lui-même. Les outils qui développent cette approche via l’IA et le machine learning procèdent à une analyse approfondie du trafic réseau. Ils sont capables de suivre l'activité des attaquants, les mouvements qu’ils opèrent entre différents environnements du site, les centres de données, IaaS et SaaS qu’ils fréquentent… Les modèles d'apprentissage automatique complètent l'expertise des équipes de sécurité et donnent de très bons résultats. Leur spécificité est d’avoir l'échelle et la puissance nécessaires pour collecter de gros volumes de télémétrie et de les faire traiter à des algorithmes entrainés à reconnaitre les comportements trahissant la présence d’un élément compromis.
Les ransomwares sont extrêmement rentables pour les cybercriminels et ne sont hélas pas près de disparaître du paysage. Leur détection rapide et précise n'est actuellement possible qu'avec des approches de détection et de réponse aux menaces basées sur l'IA. Parce qu’ils automatisent la détection, nécessitent peu de maintenance et apportent une information précise aux équipes I.T., les algorithmes constituent le meilleur allié des entreprises régionales dans cette lutte.