Selon Secureworks Counter Threat Unit™ (CTU), les ransomwares sont désormais déployés dans les 24 heures suivant l’accès initial dans plus de 50 % des engagements. En l’espace d’un an seulement, le temps de séjour médian, tel qu’indiqué dans le rapport annuel de Secureworks sur l’état de la menace, est passé de 4,5 jours à moins de 24 heures. Dans 10 % des cas, le ransomware a été déployé dans les cinq heures suivant l’obtention de l’accès initial.
Don Smith, vice-président chargé de la veille sur les menaces, Secureworks Counter Threat Unit, déclare : « La réduction de la durée médiane est probablement due au fait que les cybercriminels souhaitent avoir moins de chances d’être détectés. Le secteur de la cybersécurité est devenu beaucoup plus habile à détecter les activités qui précèdent les ransomwares.
« En conséquence, les acteurs de la menace se concentrent sur des opérations plus simples et plus rapides à mettre en œuvre, plutôt que sur de grandes opérations de chiffrement à l’échelle d’une entreprise multisite, qui sont nettement plus complexes. Mais le risque lié à ces attaques reste élevé.
Des vulnérabilités connues, mais pas corrigées
Les trois principaux vecteurs d’accès initiaux (IAV) observés dans les cas de ransomware pour lesquels les clients ont fait appel aux intervenants Secureworks sont les suivants :
- scan et exploitation (32 %)
- vol d’informations d’identification (32 %)
- logiciels malveillants de base via des courriels de phishing (14 %).
La méthode « scan-and-exploit » consiste à identifier les systèmes sensibles, éventuellement via un moteur de recherche comme Shodan ou un scanner de vulnérabilités, avant de tenter de les compromettre à l’aide d’un programme d’exploitation spécifique. Parmi la douzaine de vulnérabilités les plus fréquemment exploitées, il convient de noter que 58 % d’entre elles ont une date CVE antérieure à 2022. Notamment, l’une de ces vulnérabilités, CVE-2018-13379, est même apparue dans le top 15 de la liste des vulnérabilités les plus fréquemment exploitées à la fois en 2021 et en 2020.
Face à ces différentes menaces, il est essentiel que les entreprises renforcement leur résilience et leur capacité à redémarrer rapidement leur activité en mettant en place un Plan de continuité d’activité (PCA).