Comprendre les attaques de ransomware RaaS
Apparu en 2019, le ransomware Maze est un type de ransomware qui cible les systèmes d'exploitation basés sur Windows dans divers secteurs d'activité. Le ransomware compromet et verrouille les données, exigeant souvent le paiement d'une rançon sous forme de bitcoins pour libérer les données.
À la suite d'une fermeture déclarée par ses créateurs, Maze aurait suspendu ses activités en 2020, mais peu après, d'autres "successeurs" de RaaS (ransomware-as-a-service), tels que le ransomware Egregor, ont fait leur apparition pour suivre le mouvement.
Dans cet article, nous verrons comment fonctionne le RaaS tel que le ransomware Maze, comment il s'infiltre dans les organisations et ce qui peut être fait pour prévenir les attaques de ransomware.
Qu'est-ce que RaaS ?
Le Ransomware as a Service (Raas) est un modèle d'abonnement qui permet aux cybercriminels affiliés d'utiliser des outils de ransomware déjà développés pour exécuter des attaques par ransomware. De nombreuses attaques déploient des formes évoluées de ransomwares précédemment déployés, notamment le ransomware Maze qui a évolué vers des menaces de cybersécurité bien connues telles que le ransomware Egregor.
Comment fonctionne le ransomware Maze ?
Le ransomware Maze s'infiltre d'abord dans le réseau, souvent par le biais de campagnes de phishing où des courriels contenant des liens vers des malware ou des malware téléchargeables sont déguisés en documents Microsoft Word ou Excel.
Maze est également connu pour infiltrer des réseaux via des attaques par force brute RDP, qui exploitent souvent avec succès des mots de passe faibles.
Une fois que Maze s'est infiltré dans le réseau, ses cyberattaquants s'efforcent d'obtenir des privilèges élevés au sein du réseau afin de distribuer le malware à d'autres ordinateurs et de compromettre autant de données que possible.
Une fois les données compromises, ils les exfiltrent vers des serveurs contrôlés par les cyberattaquants.
Comment Maze a-t-il exfiltré des données ?
L'exfiltration de données consiste à déplacer des données en dehors d'un réseau fiable et protégé. Maze y parvient en utilisant un protocole de transfert de fichiers (FTP) qui copie ensuite les fichiers sur un autre serveur et les crypte. Cela signifie que les victimes ne pourront plus accéder à leurs fichiers et à l'endroit où ils sont stockés.
Quel était le site web du ransomware Maze ?
Maze exploitait un site web sur lequel il publiait régulièrement des données compromises afin de prouver que ses cyberattaques étaient couronnées de succès et de punir ceux qui ne payaient pas la rançon.
En 2020, Maze a annoncé sur son propre site web qu'il fermerait ses portes, mais beaucoup soupçonnent les opérateurs de Maze d'être toujours en liberté et d'opérer sous d'autres noms.
D'où vient le ransomware Maze ?
On ne sait pas exactement d'où vient le ransomware Maze, mais on soupçonne généralement le groupe Maze de faire partie d'un vaste réseau de cybercriminels affiliés qui développent également d'autres types de malware.
Ce qui est clair, c'est que le ransomware Maze a ouvert la voie aux successeurs du RaaS, à savoir Egregor, qui est apparu peu après la fermeture de Maze en 2020.
Attaques par ransomware Egregor
Enfant des familles de ransomware Maze et Sekhmet, Egregor a commencé à fonctionner en septembre 2020 et a été largement déployé et distribué par les affiliés de Maze. L'une des différences les plus notables est que le ransomware Egregor rend non seulement les fichiers et les programmes inefficaces, mais que les opérateurs publient également les données compromises si une rançon n'est pas payée dans les trois jours.
Cette tactique de double extorsion a rapidement fait d'Egregor une force avec laquelle il faut compter, le coût le plus élevé enregistré pour une rançon d'Egregor atteignant 4 millions de dollars.
Egregor a connu une période de six mois avant d'être arrêté par le FBI et les autorités ukrainiennes. On s'accorde à penser qu'Egregor refera bientôt surface sous un autre nom.
Pourquoi un ransomware de type RaaS est-il si dangereux pour les soins de santé ?
Les cyberattaquants exploitent les vulnérabilités de toutes les organisations qui doivent protéger des données sensibles, et les organisations de soins de santé disposent souvent d'une pléthore d'informations médicales sur les patients qui doivent rester protégées. Les cyberattaquants peuvent menacer de vendre, de publier ou de partager d'une autre manière les informations protégées par la HIPAA auxquelles ils ont accès, ce qui place les victimes de ces cyberattaques dans une position très difficile.
Malgré les cyberattaques, l'importance du maintien de la conformité HIPAA pose un défi unique au secteur de la santé, mais il existe des moyens de rester conforme à la HIPAA sans sacrifier la commodité de la communication et la facilité de fonctionnement, tout en protégeant l'organisation contre les cyberattaquants.
Par exemple, des services de cybersécurité comme Mimecast qui offrent des canaux de communication conformes à la HIPAA afin de protéger les informations même lorsqu'elles sont envoyées par courrier électronique. Lorsqu'ils envisagent de faire appel à un prestataire de services de cybersécurité, les organismes de soins de santé ont tout intérêt à travailler avec un prestataire capable de comprendre et de respecter la conformité à la loi HIPAA.
Devriez-vous payer la rançon en cas d'attaque de ransomware par RaaS ?
Il est généralement conseillé de ne pas payer la rançon en cas d'attaque par un ransomware, car il n'y a aucune garantie que les criminels l'honoreront. En outre, le paiement de la rançon ne les empêchera pas de continuer à vendre ou à afficher les données compromises.
Veillez à toujours signaler les attaques de ransomware aux autorités compétentes.
Comment Mimecast peut aider à prévenir les attaques de ransomware RaaS
Bien qu'il soit pratiquement impossible d'éviter complètement les ransomwares, la meilleure façon d'atténuer les dommages causés par les attaques de ransomwares est de s'associer à un fournisseur de services de cybersécurité tel que Mimecast.
- Les services de cybersécurité permettent de protéger et de sauvegarder les données sans compromettre la fluidité des communications et des opérations au sein de votre organisation.
- Une formation de sensibilisation à la sécurité qui donne à vos équipes les moyens de protéger votre organisation
- Sauvegardez vos données grâce à la sécurité en nuage de Mimecast.
Pour en savoir plus sur la façon dont Mimecast peut aider à prévenir les attaques de ransomware , prévoyez une démonstration.
