Google analyse 80 millions d'échantillons de ransomware : voici ses conclusions

La plupart des entreprises et organisations du monde sont témoins ou font face à la montée alarmante des menaces de ransomware. Et si votre organisation n'a pas encore rencontré ce problème, vous devez tout simplement vous demander quand celà arrivera et non, si.

Les enjeux sont de plus en plus élevés. Les cybercriminels ne demandent pas seulement de l'argent, ils menacent de révéler des informations sensibles ou précieuses si les entreprises ne paient pas ou s'ils contactent les autorités chargées de l'application des lois. L'un des principaux défis pour arrêter les attaques de ransomware est le manque de visibilité complète sur la façon dont ces attaques se propagent et évoluent. Les dirigeants se retrouvent souvent avec des éléments d'information qui ne correspondent pas.

Le premier rapport d'activité sur les ransomwares de VirusTotal fournit une vue holistique des attaques de ransomwares en combinant plus de 80 millions d'échantillons potentiels liés aux ransomwares soumis au cours des dix huit derniers mois. Ce rapport est conçu pour aider les chercheurs, les professionnels de la sécurité et le grand public à comprendre la nature des attaques de ransomware tout en permettant aux cyber professionnels de mieux analyser les fichiers, URL, domaines et adresses IP suspects. Partager des informations sur le développement des attaques est essentiel pour anticiper leur évolution et détecter les menaces de cybersécurité à travers le monde.

Sur les 140 pays qui ont soumis des échantillons de ransomware, Israël est de loin le pays le plus touché, avec le plus grand nombre de soumissions et une augmentation de près de 600 % du nombre de soumissions par rapport à sa base de référence. Le pays est suivi par la Corée du Sud, le Vietnam, la Chine, Singapour, l'Inde, le Kazakhstan, les Philippines, l'Iran et le Royaume-Uni en tant que territoires les plus touchés en fonction du nombre de soumissions à VirusTotal.

ransom-countries.png
Répartition géographique des soumissions de VirusTotal liées aux ransomwares


On observe des pics d'activité de ransomware au cours des deux premiers trimestres de 2020, principalement en raison du groupe de ransomware-as-a-service GandCrab (bien que sa prévalence ait considérablement diminué au deuxième semestre de l'année). Un autre pic important s'est produit en juillet 2021, entraîné par la famille de ransomware Babuk - une opération de ransomware lancée au début de 2021 qui était à l'origine de l'attaque contre le département de police métropolitain de Washington DC.

Au moins 130 familles de ransomwares différentes étaient actives en 2020 et au premier semestre 2021, regroupées par 30 000 grappes de logiciels malveillants qui se présentaient et fonctionnaient de la même manière. Avec 6 000 clusters, GandCrab était la famille la plus active - suivie par Babuk, Cerber, Matsnu, Congur, Locky, Teslacrypt, Rkor et Reveon.

ransom-families.png
Activité des 100 familles de ransomwares les plus actives


Alors que ces grandes campagnes vont et viennent, il existe une base de référence constante d'activité de ransomware d'environ 100 familles de ransomware qui ne s'arrête jamais. Les attaquants utilisent une gamme d'approches, y compris des logiciels malveillants de botnet bien connus et d'autres chevaux de Troie d'accès à distance (RAT) comme véhicules pour livrer leur ransomware. Dans la plupart des cas, ils utilisent des échantillons de ransomware récents ou nouveaux pour leurs campagnes. Cette vaste collection d'activités fournit des informations vitales sur la croissance, l'évolution et l'impact des ransomwares sur les organisations de toutes tailles, et fournit les miettes de pain nécessaires aux entreprises et aux gouvernements pour être beaucoup plus proactifs dans l'intégration de la cybersécurité dans leur infrastructure.

Des solutions by Google

Face à tous ces risques, Google propose des plateformes et produits sécurisés par défaut et qui ont été conçus pour protéger les organisations contre les attaques de cybersécurité, y compris la menace croissante des ransomwares.

Tout d'abord, Chrome OS basé sur le cloud. Développé avec une sécurité intégrée et proactive, Chrome OS bloque les exécutables dans lesquels les ransomwares se cachent souvent, et les fichiers système sont conservés dans une partition en lecture seule garantissant que le système d'exploitation ne peut pas être modifié par des applications ou des extensions. De plus, la nature axée sur le cloud de Chrome OS signifie que les données et fichiers sont sauvegardés dans le cloud et récupérables en cas d'attaque.

La firme de Mountain View s'engage à vous fournir le cloud le plus fiable du secteur. Par exemple, le Cloud Asset Inventory aide les entreprises à identifier et surveiller tous leurs actifs en un seul endroit. La messagerie électronique étant au cœur de nombreuses attaques de ransomware, la protection avancée contre le phishing et les logiciels malveillants de Google Workspace permet de contrôler la mise en quarantaine des e-mails, de se défendre contre les types de pièces jointes anormaux et de se protéger contre les e-mails d'usurpation d'identité entrants. Chronicle, la plateforme de détection des menaces de Google Cloud, permet aux entreprises de trouver et d'analyser plus rapidement les menaces au sein de leur infrastructure et de leurs applications, que ce soit sur Google Cloud ou ailleurs. Avec des capacités intégrées et des solutions supplémentaires, Google rend également simple et efficace la réponse et la récupération en cas d'incident.

Avec de meilleures données provenant de plateformes d'intelligence participatives comme VirusTotal, les décideurs peuvent s'assurer de manière proactive qu'une gamme plus robuste de solutions de sécurité est mise en œuvre et que les approches multicouches de la sécurité deviennent la norme dans toutes les organisations. C'est le seul moyen de protéger les entreprises, écoles, hôpitaux et gouvernements contre les attaques de ransomware.


La Rédaction d'Africa CyberSecurity Mag

Source : Google