60 à 67 % en 2023.
Un important impact financier pour les entreprises
Le coût de la reprise d’activité après une attaque par ransomware dépasse largement la somme de la rançon. En 2023, 59 % des organisations ont été touchées par un ransomware, et 56 % des victimes ont payé pour récupérer leurs données. Même si les entreprises disposent de sauvegardes et peuvent restaurer leurs données sans payer de rançon, elles restent exposées au risque de voir leurs informations volées et diffusées sur le dark web si elles ne cèdent pas aux exigences des attaquants.Dans un tiers des incidents enregistrés l'an dernier, des données ont également été dérobées. En moyenne, les entreprises ont dû dépenser 2,73 millions de dollars pour se remettre de ces attaques, sans compter le coût de la rançon.
Il s’avère souvent difficile de se remettre d’une attaque par ransomware. De nombreux exemples d’attaques rendues publiques font cas de services essentiels impactés, tels que le fonctionnement des tribunaux, celui des services d'urgence comme la police et les pompiers, ou encore l’impossibilité d’effectuer des réservations d'hôtel.
Les organisations cherchent à minimiser l'impact financier et les interruptions de leur activité, et doivent souvent décider ce qui - entre payer la rançon ou tenter de récupérer les données et les systèmes par leurs propres moyens- leur coûtera le plus cher. En moyenne, il faut 22 jours pour se remettre d'une attaque par ransomware, une durée bien trop longue pour qu'une entreprise reste inactive.
Pourquoi autant d’attaques par ransomware sont réussies ?
Les ransomwares évoluent constamment, avec de nouvelles familles et variantes détectées chaque année. L'IA est devenue l'arme de choix des cybercriminels. Elle leur permet de créer des ransomwares plus furtifs et d'optimiser leurs campagnes de phishing et de reconnaissance. Grâce aux outils de codage basés sur l'IA, les cybercriminels peuvent générer de 30 % à 40 % de variantes supplémentaires, rendant les ransomwares plus accessibles et lucratifs que jamais.Face à cette menace croissante, les outils de sécurité traditionnels montrent leurs limites. Souvent, ils ne détectent les logiciels malveillants qu'après qu'une vulnérabilité ait été exploitée, une approche trop lente et qui se prête aux erreurs. Les centres d'opérations de sécurité (SOC) sont submergés par les alertes, avec une moyenne de plus de 4 000 par jour, alors qu'en moyenne il ne faut que 62 minutes pour mener à terme une attaque. Les entreprises doivent détecter, enquêter et remédier à chaque variante de ransomware dans ce délai de 62 minutes, sous peine de subir des incidents majeurs.
L'essor de l'IA ne fera qu'accentuer la prolifération de nouvelles variantes de ransomwares conçues pour passer inaperçues. Il est donc impératif que les organisations revoient leurs stratégies de détection et de réponse. S'accrocher aux méthodes traditionnelles, c'est s'exposer au risque de devenir la prochaine victime.
Identifier et bloquer les domaines ransomware grâce au DNS
Grâce à la Threat Intelligence DNS, il est possible de bloquer proactivement la plupart des nouvelles variantes de ransomware avant qu'elles ne se propagent. En surveillant globalement l'infrastructure DNS mise en place par les cybercriminels, acteurs de la menace ransomware et acteurs affiliés, les nouveaux domaines malveillants peuvent être bloqués avant même leur utilisation, neutralisant ainsi proactivement les menaces.Les domaines suspects, trahis par leur comportement ou leur ressemblance avec des domaines malveillants connus, peuvent ainsi être rapidement neutralisés avant même la première requête DNS. Les entreprises sont ainsi protégées en amont, sans attendre que l'attaque ne soit perpétrée.
L'efficacité de cette approche repose sur des algorithmes sophistiqués et sur le machinelearning, capables d'identifier les domaines suspects, de surveiller les infrastructures des attaquants et leur modifications, afin de protéger proactivement les entreprises contre les ransomware émergents et leurs variants. Cette approche permet de bloquer 60 % des domaines malveillants avant même leur première utilisation par l'attaquant. En outre, l'exfiltration de données via le DNS peut être détectée et bloquée, accélérant ainsi la réponse aux incidents et limitant leur impact.
Le DNS est un maillon essentiel dans la chaîne d'attaque des ransomwares. En effet, près de 92 % des logiciels malveillants, y compris les ransomwares, l'utilisent pour mener leurs opérations. La Threat Intelligence DNS peut, lorsque ses sources sont fiables et spécialisées sur le DNS, permettre de bloquer les domaines suspects de façon préventive et efficace. Un éditeur spécialiste sur ce sujet annonce par exemple 63 jours d’anticipation en moyenne sur la protection préventive avant la date d’activation d’un nouveau variant malware ou ransomware, ce qui donne aux entreprises une longueur d’avance sur les cybercriminels.
Renforcer les services réseau essentiels pour assurer la résilience en cas d'attaques par ransomwares
De nombreuses campagnes de ransomware ciblent et désactivent les serveurs Windows AD (Active Directory) pour ralentir la réponse à une attaque et semer le chaos. Ces serveurs hébergent souvent les services DNS et DHCP, ce qui signifie que leur désactivation peut rendre le réseau et les applications critiques inaccessibles, entraînant des interruptions prolongées et compliquant les efforts de remédiation.Il est donc recommandé de découpler les serveurs DNS et DHCP des serveurs Windows AD pour améliorer la cyber-résilience. Des solutions DNS, DHCP et IPAM peuvent garantir que les services de réseaux critiques restent opérationnels, même en cas d'attaque par ransomware.
Par Laurent Rousseau, Solutions Architect Manager chez Infoblox
