Une série d’articles comprend des publications relatives à l’évolution des techniques d’évasion et aux 5 signes annonciateurs d’une attaque de ransomware

L’évolution rapide des comportements des cyberattaquants et le développement du travail à distance mettent en exergue le besoin urgent de mettre en place des niveaux de sécurité supplémentaires pour se prémunir contre les futures menaces

Paris — août 4, 2020 —

Sophos, leader mondial en solutions de cybersécurité Next-Gen publie sur SophosLab Uncut une série d’études concernant les réalités liées aux ransomwares. Celles-ci incluent un rapport sur les nouvelles techniques visant à éviter la détection utilisées lors d’attaques menées par WastedLocker, qui utilisent des E/S mappées en mémoire pour le chiffrement de fichiers. Un second article se penche sur la course aux nouvelles techniques d’évasion dans le domaine des ransomwares et révèle la manière dont, en quelques mois, les cybercriminels ont modifié et fait évoluer leurs techniques, tactiques et procédures (TTP) d’évasion, depuis l’apparition du ransomware Snatch, en décembre 2019.

Cette série d’articles détaille également les cinq signes avant-coureurs qui montrent qu’une entreprise est sur le point de subir une attaque de ransomware et les raisons pour lesquelles de telles attaques se poursuivent.

« La réalité, c’est que les ransomwares ne sont pas près de disparaître. Chez Sophos, nous avons vu des groupes de cyberattaquants comme WastedLocker révolutionner les tactiques d’évasion. Certains d’entre eux ont même trouvé le moyen de contourner les outils anti-ransomwares basés sur le comportement. C’est le dernier exemple en date de cyberattaquants qui se retroussent les manches et utilisent de nouvelles techniques visant à désactiver manuellement les logiciels, afin de préparer le terrain pour une attaque de ransomware généralisée. Des techniques furtives, comme l’exfiltration de données et la désactivation des sauvegardes, sont autant d’autres signes avant-coureurs. Plus les attaquants passent de temps sur le réseau, plus ils sont en mesure de provoquer des dégâts », déclare Chester Wisniewski, principal chercheur chez Sophos. « C’est pourquoi il est nécessaire de mettre à contribution l’intelligence et une intervention humaine afin de détecter et de neutraliser les signes annonciateurs d’une attaque. Il est impératif que les entreprises soient informées de cette tendance à la hausse et qu’elles renforcent leur périmètre de défenses en désactivant les outils d’accès à distance, comme les protocoles de bureau à distance (RDP) lorsque cela est possible, afin d’interdire aux criminels l’accès à leur réseau, un dénominateur commun à de nombreuses attaques de ransomwares analysées par Sophos. »

La combinaison entre ces changements dans le comportement des attaquants et le développement des environnements de travail à distance ou hybrides, conséquence de la pandémie du COVID-19, indique que les entreprises doivent faire de la sécurité de leurs systèmes d’informations une priorité. Il est également nécessaires que celles-ci mettent en place des mesures de sécurité pour se prémunir contre les menaces futures et anticiper les attaques d’adversaires qui ne cessent de s’adapter et de repousser les limites, profitant de la surface d’attaque étendue en raison de la crise du COVID-19.

La série d’études publiée par Sophos comprend

  • The realities of ransomware: extortion goes social
  • WastedLocker’s techniques point to a familiar heritage
  • Ransomware’s evasion-centric arms race
  • 5 signs you’re about to be hit by ransomware
  • Ransomware: why it’s not just a passing fad

Conseils à appliquer dès à présent pour protéger le système

  • Désactiver les RDP connectés à Internet pour empêcher les cybercriminels d’accéder au réseau
  • Si besoin d’accéder à un RDP, il est recommandé d’utiliser une connection VPN
  • Mettre en place des couches de sécurité supplémentaires, telles que la technologie endpoint detection and response (EDR) et des équipes d’intervention qui surveillent le réseau en permanence, afin de prévenir et de détecter les menaces tout en protégeant
  • Prendre connaissance des cinq signes avant-coureurs qui indiquent la présence d’un cyberattaquant sur le réseau afin de tuer dans l’œuf les attaques par ransomwares

Des chercheurs issus de SophosLabs et de Sophos Managed Threat Response ont contribué à cette série. Pour plus d’informations, veuillez consulter SophosLabs Uncut et Sophos News.

Ressources annexes

Ressources sur la cybersécurité dans le cadre de la crise du COVID-19

  • SophosLabs a identifié plusieurs campagnes d’emailing malveillantes en lien avec le COVID-19. Les nouveaux éléments sont publiés en continu sur Uncut blog. Suivez le blog de SophosLabs sur Twitter pour les dernières découvertes exclusives :  @SophosLabs
  • Sophos News propose des conseils et des ressources gratuites pour aider les télétravailleurs à faire face à l’enjeu tech et sécurité (Cybersecurity guidance during the coronavirus pandemic)
  • Naked Security propose des conseils de sécurité sur le travail à distance, les outils de vidéoconférence et autres sujets, ainsi que les dernières actualités du secteur. Cliquez ici pour accéder facilement à tous les articles de Naked Security en lien avec le coronavirus.

À propos de Sophos

Sophos est un leader mondial innovant dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. La Société a fait l’acquisition de Secureworks en février 2025, réunissant ainsi deux pionniers qui ont redéfini l’industrie de la cybersécurité grâce à leurs services, technologies et produits innovants, optimisés par l’intelligence artificielle native. 
Sophos est désormais le plus grand fournisseur spécialisé de services de détection et réponse managées (MDR) protégeant plus de 28,000 organisations à travers et d’autres services, son portefeuille complet comprend les solutions de sécurité de pointe pour les endpoints, les réseaux, les emails et le cloud, qui interagissent et s’adaptent dynamiquement pour assurer une défense efficace via la plateforme Sophos Central.  
Secureworks apporte à cette alliance ses technologies innovantes et leaders sur le marché, notamment Taegis XDR/MDR, la détection et réponse aux menaces sur l’identité (ITDR), des capacités SIEM nouvelle génération, la gestion des risques ainsi qu’un ensemble complet de services de conseil en cybersécurité.  
Sophos commercialise l’ensemble de ces solutions à travers un réseau mondial de revendeurs, de fournisseurs de services managés (MSP) et de fournisseurs de services de sécurité managés (MSSP), protégeant plus de 600 000 entreprises contre le phishing, les ransomwares, le vol de données et d’autres cybermenaces, qu’elles soient quotidiennes ou menées par des Etats-nations.  
Toutes les solutions sont alimentées par des renseignements sur les menaces en temps réel et historiques issus de Sophos X-Ops et de la Counter Threat Unit (CTU) récemment intégrée.  
Le siège social de Sophos est situé à Oxford, au Royaume-Uni. Pour plus d’informations, consultez le site sophos.fr.