La fenêtre pour la détection d’intrusion ne cesse de se raccourcir à mesure que le temps de randonnée du groupe Ransomware accélère.
Les gangs de ransomware fonctionnent beaucoup plus rapidement qu’auparavant, laissant moins de temps aux organisations pour les détecter.
Selon l’analyse des incidents de ransomwares au cours de la dernière année, le délai de randonnée moyen (TTR) est d’environ 17 heures; Pour certains groupes, il ne fait pas aussi peu que 4 à 6 heures. Ce rythme contraste fortement avec la façon dont les principaux groupes de ransomwares fonctionnaient avant la fin de la tendance à la double extorsion il y a plusieurs années, lorsqu’ils se cacheraient à l’intérieur des réseaux de victimes pendant des jours ou des semaines pour créer un meilleur accès et obtenir un contrôle complet.
Une corrélation claire existe également entre le TTR moyen d’un groupe de ransomware et son nombre de victimes, l’analyse de la société de détection et de réponse gérée Huntress. Les groupes qui ont augmenté de manière significative en termes d’activité en 2024, comme RansomHub, Lynx / Inc, Akira et Play, ont certains des TTR les plus bas, moins de 8 heures.
Certains de ces groupes adoptent également une approche smash and-grab en ciblant les petites et moyennes entreprises et en offrant leurs affiliés – les pirates qui effectuent les intrusions et les infections – des pourcentages très élevés des montants de rançon. Cela incite les affiliés à générer autant de paiements de rançon que possible.
Moins de possibilités de détecter
Une autre tendance à noter est que certains groupes de ransomwares se concentrent davantage sur l’extorsion du vol de données que sur les méthodes traditionnelles de chiffrement des données – bien que la plupart des groupes le font les deux. Les améliorations des outils de détection et de réponse (EDR) (EDR) et la détection des ransomwares en général peuvent contribuer à ce changement, ainsi que des actions réussies d’application de la loi.
«Bien que ces défenses aient prospéré, les services de prévention des pertes de données (DLP) n’ont pratiquement fait aucune avancée et ne sont souvent installés que dans des environnements d’entreprise matures», ont écrit les chercheurs de Huntress dans leur rapport. «Les attaquants sont de plus en plus conscients de ces circonstances et choisissent de voler des données et de les tenir pour rançon.»
Il convient de noter que le TTR n’est pas une métrique parfaite pour évaluer le rythme des attaques de ransomwares étant donné que les variables diffèrent souvent entre les incidents, notamment:
- Le point d’accès initial pour les attaquants et les privilèges qu’il leur a fournis
- Il est facile d’atteindre d’autres segments et systèmes de réseau à partir de l’actif initialement compromis
- Si l’accès à l’environnement a été revendue à un opérateur de ransomware par un courtier d’accès initial
- Si les assaillants ont décidé de fonctionner uniquement en dehors des heures de travail régulières de la victime
Un autre facteur important que Huntress a analysé était le nombre d’actions que les attaquants ont pris dans l’environnement après le compromis initial. Il s’agit notamment des actions malveillantes telles que les analyses de réseau pour la reconnaissance, le mouvement latéral, le vidage des informations d’identification pour l’escalade des privilèges, l’exécution de scripts, l’exécution de commandes de terminaux, le téléchargement de charges utiles supplémentaires et l’exfiltration de fichiers.
Cette métrique est importante car plus le nombre d’actions malveillantes est élevée, plus il y a de chances de déclencher une alerte qui permettrait à une organisation de découvrir les intrus tôt pendant l’attaque. Selon Huntress, le nombre moyen d’actions malveillantes à travers les incidents de ransomwares enquêtés était de 18, mais certains groupes ont pris aussi peu que six et d’autres plus de 30.
«Les attaquants se concentrant sur l’extorsion, le vol de données et l’espionnage ont tendance à effectuer plus d’actions, avec pivot, récolte de données et exfiltration de ces activités supplémentaires», ont écrit les chercheurs. « Les attaquants qui comptent sur la réception des paiements de ransomwares pour le décryptage ont tendance à effectuer un nombre plus faible d’actions car ils sont essentiellement brisés et saisis. »
Tactiques changeantes
Les ransomwares représentaient près de 10% de tous les types de menaces que Huntress a détectées ou étudiées, avec les secteurs de la santé, de la technologie, de l’éducation, de la fabrication et du gouvernement en voyant les taux les plus élevés d’incidents de ransomware. Cependant, il convient de noter que certaines des autres menaces suivie séparément, telles que les logiciels malveillants ou les scripts, sont souvent des mécanismes de livraison pour les ransomwares ou sont utilisés par les courtiers d’accès initiaux qui vendent ensuite l’accès aux groupes de ransomware.
Par exemple, Huntress a noté un pic significatif dans les outils d’abus de surveillance et de gestion à distance (RMM) tels que ConnectWise ScreenConnect, TeamViewer et LogMein pour avoir acquis et maintenu l’accès aux réseaux. Certains groupes de ransomwares ont exploité les vulnérabilités zéro-jours dans les outils RMM dans le passé.
Il existe également des changements spécifiques à l’industrie dans les tactiques. Les chercheurs ont noté que les incidents de rançon dans l’industrie des soins de santé passent du chiffrement traditionnel des données vers le vol de données.
« Les attaquants continuent d’exfiltration de données jusqu’au point de rancher une victime, de nombreux attaquants mettant en œuvre RAR ou zip pour regrouper des données et l’exfiltrant à leurs serveurs C2 », a déclaré Huntress. «Nous avons vu des attaquants plus sophistiqués commencer à utiliser des services P2P cryptés comme CloudFlare Tunneling pour non seulement exfiltrat mais pour livrer des outils et des logiciels malveillants.»
