Prévisions des menaces pour 2022 : Ransomware, Ransomware, Ransomware

Note de l'éditeur : Cet article a été initialement publié sur www.scmagazine.com.

Après avoir été connus principalement dans les communautés de la technologie et de la cybersécurité, les rançongiciels ont fait un bond dans la conscience du grand public au cours de l'année dernière, grâce à des attaques qui ont fait la une des journaux et ont affecté la vie quotidienne d'un grand nombre de personnes.

Parmi les professionnels du site cyber qui ont soumis des prédictions pour l'année à venir, nombreux sont ceux qui semblent penser que la menace posée par des groupes qui infiltrent les systèmes des organisations et cryptent leurs données en échange d'un joli salaire restera l'une des principales menaces en 2022. Les menaces pour ou posées par les chaînes d'approvisionnement, les crypto-monnaies et les États-nations ont également été mentionnées par les experts.

Mais les prédictions ne sont pas toutes pessimistes : Certains experts ont noté que la cybersécurité pourrait faire l'objet d'une plus grande attention de la part des PDG et des conseils d'administration en 2022, tandis que le partage d'informations se développera avec les ISAC.

Ransomware

Selon Mike Campfield, vice-président des programmes de sécurité mondiaux chez ExtraHop, l'argent est la motivation principale des attaques par ransomware :

"Les ransomwares resteront le plus grand problème de sécurité en 2022. Les acteurs APT sont la prochaine grande menace, et ce parce qu'ils ne sont pas aussi motivés financièrement. Ces types d'attaques sont plus multiformes que les ransomwares, car il ne s'agit pas seulement de protection financière, mais aussi de protection de la propriété intellectuelle et des données. Les attaques contre la chaîne d'approvisionnement constituent la troisième préoccupation majeure, compte tenu des techniques avancées qui sont désormais déployées pour mener facilement ces types d'attaques. Elles ne reposent plus sur le phishing. Les attaquants peuvent infiltrer l'ensemble de la chaîne d'approvisionnement sans avoir à passer par la porte principale.Le problème de la sécurité n'est pas près de disparaître. Tant qu'il y aura de l'argent au bout, qu'il s'agisse de quelqu'un qui vole de la propriété intellectuelle ou de l'argent, ils trouveront toujours un moyen de l'obtenir."

La professionnalisation des groupes de ransomware, selon Archie Agarwalfondateur et PDG de ThreatModeler.:

"Lesransomwares vont continuer à sévir, et les paiements effectués aux criminels par les organisations et les assureurs pour décrypter les données vont continuer à augmenter avec eux. Cette tendance va commencer à soulever de sérieuses questions à mesure que les bandes criminelles s'enrichissent, se professionnalisent et utilisent leurs gains mal acquis pour financer l'armement plus rapide d'exploits et acheter des jours zéro sur étagère afin d'avoir accès à leur prochaine série de ransomwares. En raison de cette boucle de rétroaction lucrative, nous entendrons de plus en plus parler de groupes de ransomwares criminels dotés de vice-présidents chargés des produits et de structures organisationnelles reflétant celles d'organisations légitimes. Tous ces développements conduiront à un débat public sur le paiement des extorqueurs."

Selon Brad Hibbert, directeur de l'exploitation et directeur de la stratégie chez Prevalent, les rançongiciels vont devenir la principale tactique utilisée dans les attaques de la chaîne d'approvisionnement en logiciels et les violations de données par des tiers :

"Après une année record d'attaques par ransomware très médiatisées provenant de fournisseurs tiers (par exemple Kaseya et d'autres), 2022 n'en verra que davantage car les cybercriminels continuent de perfectionner leurs méthodes d'attaque, d'accroître leur sophistication et de suivre l'argent. Les principales cibles seront les tiers qui fournissent des biens et des services aux secteurs de l'automobile, des banques de taille moyenne et de la vente au détail, en raison de la criticité des données et des systèmes auxquels ils ont accès."

Les défenses contre les ransomwares ont besoin d'être rafraîchies, déclare Carolyn Crandall, responsable de la sécurité chez Attivo Networks :

"Les défenses contre les ransomwares doivent bénéficier d'un rafraîchissement bien nécessaire.Le ransomware 3.0 est arrivé. Il se caractérise par une double extorsion, les cybercriminels ne se contentant pas de chiffrer les fichiers mais divulguant également des informations en ligne qui peuvent avoir un impact considérable sur l'image de l'entreprise, ses bénéfices et le cours de ses actions. Il n'existe plus d'approche unique pour se défendre contre ces attaques. Avec plus de 300 variantes, la lutte contre les ransomwares nécessite une approche à multiples facettes. Une approche qui commence par la protection d'Active Directory et des informations d'identification privilégiées. En 2022, les organisations ne pourront pas suivre le rythme de la compréhension du fonctionnement de chaque groupe et devront plutôt améliorer leur visibilité des expositions et ajouter des mesures de détection basées sur la technique. La mise en place de pièges, d'erreurs d'aiguillage et de ralentisseurs en cours de route sera également un moyen de dissuasion efficace pour empêcher un attaquant de réussir." 

La désinformation rencontre le ransomware, explique David Etue, PDG de Nisos :

"Nous avons vu l'influence de la désinformation et de l'activité inauthentique coordonnée sur les élections, la perception des vaccins par le public, et une série d'autres sujets.Nous avons vu de nombreuses attaques réussies de ransomware ciblant des entreprises, des services publics et des municipalités - et perturbant ou arrêtant leurs opérations.Étant donné le succès de ces attaques, il semble inévitable qu'elles fusionnent bientôt. Les menaces de ransomware ne se limiteront plus au verrouillage de l'accès aux réseaux. De nouvelles attaques verront le jour, dans lesquelles les acteurs de la menace contacteront les entreprises et exigeront une rançon pour éviter l'utilisation de leurs marionnettes et de leurs réseaux inauthentiques pour diffuser des désinformations et des mensonges sur leurs dirigeants, leurs pratiques de travail, leurs partenaires commerciaux ou des produits potentiellement dangereux.Bien qu'aucune entreprise ne souhaite être victime de ce genre d'attaque, les conseils d'administration et les dirigeants devront une fois de plus faire le choix difficile de payer la rançon ou de voir leurs entreprises et leurs actionnaires être victimes de ces attaques."

Les attaques par hameçonnage ne font que croître, avec pour objectif ultime les rançongiciels, déclare Ihab Shraim, directeur technique de CSC DBS :

"Les entreprises continueront de tomber sous le coup des cyberattaques, les types les plus dangereux étant les attaques de phishing qui mènent à des attaques de ransomware ou la fraude par usurpation d'identité qui conduit au vol de PII. Les campagnes de phishing lancées par les mauvais acteurs capitalisent sur le ciblage de leurs attaques en fonction des fêtes saisonnières et des événements mondiaux (par exemple, COVID). En 2022, nous verrons ces types d'attaques principalement délivrées via des campagnes d'emails ciblés, car ils les utilisent comme un catalyseur pour la prochaine grande attaque."

Chaîne d'approvisionnement

Selon Moshe Zioni, vice-président de la recherche sur la sécurité chez Apiiro, lesattaques contre la chaîne d'approvisionnement vont atteindre un pic :

"Je pense que les chaînes d'approvisionnement atteindront leur apogée en 2022 en raison des connaissances acquises des deux côtés de la médaille. Par exemple, du côté des attaquants, les cybercriminels seront plus que jamais attirés par les attaques de la chaîne d'approvisionnement en raison de la facilité d'opération sous la 'boîte noire' que ces systèmes offrent. Cela dit, du côté des défenseurs, je prévois que nous verrons de plus en plus de solutions, de mécanismes de détection et de pratiques pour les différentes parties de la chaîne d'approvisionnement qui seront présents dans un plus grand nombre d'entreprises, ce qui donnera de meilleures chances de détection."

Augmentation des cyberattaques de grande envergure contre la chaîne d'approvisionnement, selon Jeff Costlow, responsable de la sécurité de l'information chez ExtraHop :
"Les attaquants de la chaîne d'approvisionnement profiteront d'un manque de surveillance dans l'environnement d'une organisation. Ils peuvent être utilisés pour réaliser tout type de cyberattaque, comme des violations de données et des infections par des logiciels malveillants. Les attaques de la chaîne d'approvisionnement, en particulier pour les fournisseurs de services en nuage, deviendront plus courantes et les gouvernements devront établir des réglementations pour faire face à ces attaques et protéger les réseaux.Nous pouvons nous attendre à voir davantage de collaboration internationale entre les secteurs privé et public pour identifier et cibler davantage de groupes de menaces opérant à l'échelle mondiale et régionale." 

Gouvernements et agences

Selon James Hayes, vice-président des affaires gouvernementales chez Tenable, les agences fédérales vont s'intéresser de près aux fondamentaux de cyber .:

"Du décret de l'administration Biden sur l'amélioration de la cybersécurité de la nation à la directive de la CISA sur la correction des vulnérabilités à haut risque, la sécurité a pris le devant de la scène pour le gouvernement fédéral en 2021. En conséquence, en 2022, de plus en plus d'agences renforceront leurs mesures de sécurité - en adoptant la confiance zéro, en obtenant une meilleure visibilité des surfaces d'attaque, en augmentant la collaboration, etc. Cela sera de plus en plus évident dans les environnements à haut risque souvent ciblés par des adversaires étrangers, comme les infrastructures critiques et les technologies opérationnelles (OT). La sécurisation de l'infrastructure de notre pays est devenue plus importante que jamais et les agences établiront leurs priorités en conséquence."

Selon Mark Bowling, vice-président des services d'intervention de sécurité chez ExtraHop, les attaques d'États-nations constitueront la première menace pour la sécurité au cours des cinq prochaines années:

"Les attaques de type espionnage visant des gains économiques et militaires cibleront de plus en plus les États-Unis afin que les États-nations puissent exercer une influence sur la sphère politique. Non seulement leur nombre augmentera, mais ils amélioreront leurs techniques d'espionnage cyber . Ils ne s'arrêteront pas tant que les États-Unis ne tenteront pas de les dissuader."

La cyberguerre politique va s'intensifier, selon Jeremy Ventura, stratège principal en matière de sécurité chez Mimecast:

"D'un point de vue politique et des relations internationales, nous verrons des pays, des nations et des entités de collation faire un grand pas en avant en tenant pour responsables les autres États-nations qui hébergent des cybercriminels. Des sanctions économiques, commerciales, militaires et manufacturières seront appliquées, ce qui pourrait provoquer une "cyberguerre politique"." 

Crypto-monnaie

Lesgouvernements doivent réglementer les crypto-monnaies pour éliminer les ransomwares, déclare Andrew Rubin, PDG d'Illumio :

"Bien que les ransomwares soient là pour rester, il existe des moyens de faire face à la menace. Si les attaques de ransomware sont si répandues, c'est en partie parce qu'elles permettent d'échanger de grosses sommes d'argent sans traçabilité. Si nous voulons éliminer définitivement les ransomwares, les gouvernements doivent réglementer les crypto-monnaies pour mettre fin à la crypto-économie. Cependant, ce n'est pas réaliste - il existe des économies légitimes fonctionnant avec des crypto. Tant que nous n'aurons pas éliminé ou réglementé l'économie des crypto-monnaies, nous continuerons à voir l'augmentation des ransomwares en 2022 et au-delà."

La réglementation sur les crypto-monnaies n'aura aucun impact sur les cybercriminels, affirme Anuj Goel.PDG de Cyware :

"Le secteur public peut continuer à réglementer les crypto-monnaies, mais cela ne fera rien d'autre qu'entraver les monnaies dans leur ensemble. Nous l'avons vu avec Ripple et SEC, qui ont été retirés de la liste de tous les échanges accessibles aux États-Unis, comme Coinbase. Malgré les tentatives de démantèlement des monnaies et des échanges, les acteurs de la menace trouveront simplement de nouvelles monnaies numériques pour mener leurs attaques."

Bonne nouvelle ?

2022 sera l'année du "nettoyage de sécurité COVID", déclare Andrew Maloney, cofondateur et directeur de l'exploitation de Query.AI:

"Lorsque COVID-19 a forcé les organisations à transformer leurs modèles d'affaires pratiquement du jour au lendemain, les entreprises ont fait ce qu'elles devaient faire pour garder les lumières allumées et leurs employés connectés dans un monde distant. Elles ont déployé un grand nombre de nouvelles technologies en un temps record pour maintenir leurs opérations et, dans de nombreux cas, elles ont agi si rapidement qu'elles n'ont pas été en mesure de répondre correctement aux problèmes de sécurité. Les responsables de la sécurité informatique se sont donc retrouvés dans l'obligation d'éponger les dégâts : ils ont dû colmater toutes les brèches de sécurité créées par l'empressement des entreprises à se transformer numériquement. Même si les responsables des systèmes d'information se concentrent sur le nettoyage de la sécurité du COVID, ils ne peuvent pas aller très vite et il est probable qu'il y aura des retombées importantes dans les années à venir (par exemple, des incidents de sécurité causés par des configurations erronées du cloud, des droits d'accès excessifs et le shadow IT). Cela dit, il n'y a pas que des mauvaises nouvelles pour les RSSI. Un effet secondaire de cette situation sera que davantage de PDG et de conseils d'administration commenceront à considérer la cybersécurité comme un problème commercial - et les RSSI pourraient enfin obtenir leur siège tant attendu et mérité à la table du conseil d'administration."  

Selon James Nelson, vice-président de la science de l'information chez Illumio, la réglementation relative aux ransomwares entraînera un plus grand partage des informations:

"Historiquement, les organisations ont toujours été réticentes à signaler les brèches qu'elles ont subies, car elles considéraient que cela avait mauvaise presse et était mauvais pour les affaires. Cela a conduit à un énorme manque de connaissances sur les attaques. Toutefois, à mesure que le signalement se normalise (et/ou devient obligatoire) et que les entreprises commencent à parler plus ouvertement de la manière dont elles ont abordé une violation particulière, d'autres organisations profiteront grandement de leur expérience dans la lutte contre ces attaques. À mesure que les organisations et les gouvernements prendront conscience de la nécessité de partager des informations sur les incidents de sécurité, nous verrons que cela deviendra la norme en 2022. Par conséquent, nous commencerons à ébrécher le modèle économique des ransomwares et à limiter leur impact."

Le pouvoir du partage de l'information, dit Anuj Goel, PDG de Cyware :

"L'ISACS va prendre de l'ampleur et des communautés régionales de partage de l'information vont émerger à mesure que la transparence des renseignements sur les menaces deviendra une priorité pour les secteurs privé et public.Le partage d'informations est encore considéré comme un acte plutôt altruiste et nécessite un changement de culture pour rallier les sceptiques. Comme de plus en plus d'entreprises proposent des options à distance pour leurs employés, il deviendra impératif pour les entreprises d'intégrer des procédures de partage d'informations dans leurs politiques d'entreprise. Dans ce contexte, des groupes régionaux de partage d'informations interentreprises verront le jour et les ISAC sectoriels continueront de se développer à mesure que les organisations prendront conscience du pouvoir que le partage d'informations offre aux défenseurs."