Des maîtres chanteurs qui volent des données et chiffrent des disques durs, puis exigent une rançon pour ne pas vendre les données sensibles : avec ce scénario, 2022 n’était pas que ça Gouvernement provincial de Carinthie confronté, mais aussi au moins un Autrichien Communautéun Styrien bain thermalun Allemand fabricant de compteurs d’eauactive en Autriche, et une institut de recherche renommé.
Le gouvernement de l’État de Carinthie est Mai 2022 réalisé que les cybercriminels fouillaient dans leurs systèmes informatiques depuis des mois et volaient des données précieuses. Par la suite, le gouvernement de l’État avec un demande de rançon confronté. Soi-disant « rançongiciel“ attaques dans lesquelles les maîtres chanteurs veulent obtenir une rançon pour décrypter les disques durs et ne pas revendre les données volées au plus offrant sur le dark web.
Focus 2023 : Municipalités et petites entreprises
« Des attaques comme celle-ci vont et viennent par vagues », explique Otmar Lendlexpert en cybersécurité au sein de l’équipe d’intervention d’urgence informatique Autriche (CERT.at). À l’avenir pourrait augmenter petites entreprises et les institutions sont ciblées par les pirates, dit Lendl. Ils n’ont souvent que de petits services informatiques et donc des ressources limitées pour des mesures de protection étendues. « On peut s’attendre à ce qu’il se renforce en 2023 communautés seront pris », décrit Lendl. C’est pourquoi les maîtres chanteurs en Autriche défieront à nouveau de nombreuses entreprises cette année, selon l’expert.
Il est d’autant plus important pour les entreprises de comprendre comment les maîtres-chanteurs s’adonnent réellement à leurs affaires criminelles. « Les ransomwares restent la plus grande menace en 2023 », déclare Auch Michel Veitspécialiste de la sécurité informatique Sophos, fournisseur de solutions de sécurité. Veit explique que les cybercriminels ont généralement été sur le réseau de l’entreprise pendant des mois avant de finalement chiffrer les données et extorquer une rançon.
Michael Veit est expert en cybersécurité chez Sophos
© Sophos
Comprendre comment les criminels opèrent
« Tout d’abord, les criminels regardent prudemment autour du réseau de l’entreprise. Ensuite, ils volent des données pertinentes pour l’entreprise sur les projets, les clients et les développements. Le cryptage des données avec un rançongiciel est la toute dernière étape avant le chantage », explique Veit, car à partir de ce moment, l’entreprise sait que quelqu’un a pénétré le réseau.
En conséquence, les cybercriminels ont également deux façons d’extorsion: D’une part, les entreprises sont sous pression parce qu’elles veulent retrouver l’accès aux données, d’autre part personne ne veut que des secrets d’affaires soient vendus ou transmis à des tiers. « C’est une catastrophe pour les entreprises. Les systèmes informatiques sont paralysés et doivent être entièrement reconstruits – et les données ont disparu », déclare Veit.
« D’un point de vue technique, il est extrêmement difficile de détecter les attaquants en amont dans le système. Les maîtres-chanteurs utilisent les mêmes chemins d’accès et outils système que les administrateurs classiques. »
Michel Veit, Sophos
Les intrus se déguisent en administrateurs système
Comme on ne sait pas exactement combien de temps les attaquants étaient dans le système à ce moment-là et quel type de données ils ont réellement volé, il faut souvent aller « très loin dans le passé » en ce qui concerne les sauvegardes que l’on utilise le informaticien. Cela signifie que des données commerciales importantes et actuelles peuvent ne plus être récupérables et que des dommages économiques importants sont possibles, selon l’expert. De plus, il est presque impossible d’identifier exactement quelles données ont été volées.
« Le problème avec cela : d’un point de vue technique, il est extrêmement difficile de détecter les attaquants au début du système. Les maîtres chanteurs utilisent les mêmes voies d’accès et outils système comment administrateurs classiques. Un tel accès est souvent indiscernable de celui d’un utilisateur normal », explique Veit. Les employés doivent pouvoir accéder aux données sur le réseau et, par conséquent, les solutions de protection telles que les pare-feu ou la protection antivirus ne fonctionneraient pas ici non plus.
Mesures combinées requises pour la détection
« Ça prend intelligence artificielle et humainede reconnaître s’il s’agit d’un accès normal au réseau ou si quelqu’un regarde autour du système sans y être invité et vole des données », explique l’expert en sécurité de Sophos. Parce que les attaquants utilisent souvent des données de connexion volées à de vrais employés, qu’ils ont capturées via des attaques de phishing ou achetées sur le dark web. « L’intelligence artificielle est capable de détecter des anomalies dans les tentatives de connexion. Mais ensuite, vous avez besoin de personnes capables de déterminer si certains processus sont vraiment quelque chose d’inhabituel », explique l’expert.
Mais de telles choses pourraientdépartement informatique normal« n’est pas abordable dans les entreprises, dit Veit. « Dans un tel cas, il ne suffit pas de regarder les systèmes le lundi matin. Vous devez le reconnaître et agir en quelques minutes », explique Veit. Ceci, à son tour, est non seulement un élément de coût délicat, mais aussi presque impossible à installer en interne compte tenu de la pénurie de travailleurs qualifiés dans les petites et moyennes entreprises.
Le crime en tant que service
« Vous pouvez acheter chez nous des outils d’IA qui détectent les anomalies et notre expertise », conseille Veit de Sophos. « Nous avons l’intelligence d’essaim nécessaire et pouvons reproduire les résultats immédiatement », explique le spécialiste informatique.
Selon Veit, les criminels imiteraient également les modèles commerciaux de l’industrie des services Web à bien des égards. Tout comme le font les services informatiques des entreprises Modèle « en tant que service » pour entreprendre de plus en plus d’opérations, presque tout peut entrer dans la zone sombre « La criminalité en tant que service »les prestataires sont externalisés. Il peut s’agir, par exemple, de données de connexion achetées ou d’attaques de surcharge. Selon Veit, cela ne devrait pas être laissé aux seuls criminels. « La sécurité en tant que service est le moyen d’externalisation le plus efficace », déclare Veit.
« Jusqu’à présent, la cyberguerre de la Russie a été inefficace, mais je n’ose pas prédire qu’elle le restera. »
Otmar Lendl, CERT.at
La Russie ne doit pas être sous-estimée
Mais quoi d’autre est populaire à côté des attaques de ransomwares en 2023 ? Lendl de CERT.at calcule que nous, en Autriche, pourrions ressentir davantage de cyberattaques de la part de la Russie cette année. « Jusqu’à présent, la cyberguerre russe n’a pas été très efficace, mais je n’ose pas prédire qu’elle le restera », déclare Lendl. Des attaques de plus en plus vastes pourraient également viser des entreprises autrichiennes actives en Ukraine. Selon l’expert en informatique, il pourrait encore y avoir quelques « whoops ».