Une grande partie des attaques aux rançongiciels se déroule le week-end et les nuits
Selon la société de cybersécurité, FireEyes, la grande partie des attaques informatiques rançongiciels a lieu généralement durant les horaires hors travail, soit toute la nuit ou durant le weekend.
Dans son rapport publié le jeudi dernier, la firme américaine de sécurité informatique a révélé, après avoir compilé plusieurs informations suite à une enquête menée sur la question ainsi que les retours de plusieurs incidents entre 2017 et 2019, que 76 % des infections de système par logiciel de rançonnage se produisent généralement hors des horaires de travail. De ce fait, 49 % de ces attaques se déroule la nuit et durant le weekend elle a dénombré 27 %.
Cet article va aussi vous intéresser : Rançongiciel : Snake, le nouvel ennemi des usines
Les raisons qui pourraient expliquer cette annonce sont assez simples à comprendre. En effet, les cybermalveillants déclenchent les processus de cryptage des systèmes et fichiers ciblés durant la nuit et le weekend parce que généralement il n’y a aucun employé sur les lieux, ou très peu de main d’oeuvre affectée à ce secteur, de sorte que même si l’attaque pourrait être facilement détectée, il n’y aurait personne pour déclencher une alerte ou pour réagir en cas d’alerte, à point nommé. Ce qui facilite la tâche aux cybercriminels qui auront le temps de terminer leur processus de cryptage et le prendre définitivement en otage le système qu’ils ciblent. le matin l’attaque est observée mais il est presque trop tard pour faire quoi que ce soit si ce n’est ‘appliquer les mesures de résilience.
Cependant les choses ne se passent pas aussi simplement : « ce type d’attaques est généralement le résultat d’une compromission prolongée du réseau : les pirates s’introduisent dans le réseau d’une entreprise, se déplacent latéralement d’un poste à l’autre afin d’infecter le plus possible de postes de travail, y installent manuellement des ransomwares puis déclenchent l’infection. Le temps qui s’écoule entre le début de la compromission et le déclenchement de l’attaque et de la rançon –moment qu’on appelle « dwell time » – est en moyenne de trois jours. » selon FireEyes.
Par ailleurs la firme de cybersécurité a noté le fait que les logiciels de rançonnage sont de moins en moins installés automatiquement par infection du réseau, mais manuellement par les attaquants. Ce qui change automatiquement le mode opératoire à, rendant alors la détection des pirates le plus difficile. Cette pratique s’est généralisée faisant que la majorité les attaquants préfèrent dorénavant contrôler la souche de leur programme malveillant, afin de choisir minutieusement le moment approprié pour procéder déclenchement du processus de cryptage. Procédé que Microsoft a qualifié de « human-operated ransomware attacks » en Francais, « des attaques par ransomware opérés par des humains. ». La firme de Redmond de son côté a elle même dans un rapport donner quelques recommandations pour la mise en place de règles et dans la détection les cybermalveillance durant le « dwell time », pour ainsi prévenir et empêcher qu’ils ne déclenchent la phase finale.
FireEyes a pas manqué de signaler que ces attaques opérées directement par les humains ont connu une croissance de 860 % en seulement 3 ans, soit depuis 2017. Et cela a été observé partout dans le monde entier, que ce soit pour les entreprises américaines, les établissements Asiatiques ou même Européens. Les vecteurs d’attaques les plus courants utilisés dans ce genre de contexte sont :
– Les attaques par force brute visant des postes de travail, en particulier les ports RDP (Remote Desktop Protocol) qui sont connectés à l’Internet. Ce qui leur permet de pouvoir prendre le contrôle de certains terminaux importants pour leur plan.
– Le phishing ou harponnage des collaborateurs d’une société. Par lequel les employés infectés continuerons à propager le système le programme malveillant
– Les téléchargements « drive-by ». Actions souvent commises par les employés qui ont tendance à visiter des sites non sécurisés effectuer les téléchargements programmes malveillants.
La firme de cybersécurité et Microsoft ont tous deux incité les entreprises à investir dans les solutions de détection, surtout durant les périodes pré-infectieux. « Si les défenseurs du réseau peuvent détecter et remédier rapidement au compromis initial, il est possible d’éviter les dommages importants et le coût d’une infection par un ransomware », a déclaré la firme américaine de sécurité informatique.
Accédez maintenant à un nombre illimité de mot de passe :