>
Research (Insikt)

Modèles et cibles de l’exploitation des vulnérabilités par les ransomwares : 2017-2023

Publié : 8th February 2024
By: Insikt Group®

insikt-group-logo-updated-3-300x48.png

Recent Insikt research analyzes ransomware and vulnerability trends spanning the past six years and offers insights into future expectations.

Les groupes de ransomware exploitent les vulnérabilités dans deux catégories distinctes : celles ciblées par quelques groupes seulement et celles largement exploitées par plusieurs d'entre eux. Chaque catégorie nécessite des stratégies de défense différentes. Les groupes qui ciblent des vulnérabilités spécifiques ont tendance à suivre des schémas particuliers, ce qui permet aux entreprises d'établir des priorités en matière de défense et d'audit. Pour se défendre contre une exploitation unique, il est essentiel de comprendre les cibles probables et les types de vulnérabilité.

Diagramme montrant le nombre de groupes de ransomwares associés à l'exploitation des vulnérabilités au cours des cinq dernières années Diagram showing the number of ransomware groups that have been associated with vulnerability exploitation in the last five years. By “one group”, for example, we mean that only one group has been reported to have exploited a vulnerability (Source: Recorded Future)

Des vulnérabilités largement exploitées se trouvent dans les logiciels d'entreprise les plus courants et peuvent être facilement exploitées par divers moyens, tels que des modules de tests d'intrusion. Les vulnérabilités les plus ciblées par les opérateurs de ransomware peuvent toutes être facilement exploitées par des modules de tests d'intrusion ou par de simples lignes de code. Pour se défendre contre de telles failles, il faut corriger rapidement les vulnérabilités, surveiller les recherches en matière de sécurité pour trouver des preuves de concept et observer les forums criminels pour détecter des références à des composants de la pile technologique plutôt qu'à des vulnérabilités spécifiques.

Certains groupes de ransomwares se concentrent sur l'exploitation de trois vulnérabilités ou plus, offrant ainsi des modèles de ciblage clairs pour les défenseurs. Par exemple, CL0P a ciblé les logiciels de transfert de fichiers d'Accellion, de SolarWinds et de MOVEit. La plupart des vulnérabilités ciblées se trouvent dans des logiciels d'entreprise largement utilisés et peuvent être exploitées facilement. Les vulnérabilités nécessitant des vecteurs uniques ne sont généralement exploitées que par quelques groupes.

Sur la base d'un examen des catégories de niveau supérieur dans lesquelles se classent les vulnérabilités, nous sommes convaincus que si une vulnérabilité n'est exploitée que par un seul groupe, elle nécessite probablement un package personnalisé (un fichier compressé ou des données d'application, par exemple) et ne peut pas être simplement exploitée via quelques lignes de code.

Parmi toutes les vulnérabilités exploitées par les opérations de ransomware, cinq d'entre elles se sont distinguées comme étant celles qui ont suscité le plus d'attention de la part des acteurs de la menace, car elles ont été exploitées par le plus grand nombre d'acteurs individuels de la menace de ransomware. Ces vulnérabilités sont ProxyShel, ZeroLogon, Log4Shell, CVE-2021-34527, qui affectait des produits d'entreprise Microsoft tels qu'Exchange, Netlogon et Print Spooler, et CVE-2019-19781, qui affectait le logiciel Citrix. La position dominante de Microsoft dans ce domaine n'est pas surprenante : comme nous l'avons indiqué dans des rapports précédents, Microsoft est régulièrement le fournisseur le plus touché par l'exploitation des « zero-day » et par les ransomwares en général, car environ 55 % des vulnérabilités exploitées par trois groupes ou plus concernaient des produits Microsoft.

Les cinq principales vulnérabilités se sont également révélées très populaires dans le paysage plus large des menaces une fois divulguées en raison de facteurs tels que l'impact élevé en termes d'accès ou de contrôle sur les systèmes et l'omniprésence du logiciel affecté. Par exemple, des groupes d'États-nations et d'autres cybercriminels non liés aux ransomwares ont été observés à plusieurs reprises ciblant ces vulnérabilités dans le cadre de leurs opérations d'intrusion.

Les opérateurs de ransomware et leurs affiliés parlent rarement de vulnérabilités spécifiques, mais l'écosystème cybercriminel dans son ensemble identifie et discute des vulnérabilités connues du public et des cibles potentielles d'exploitation.

Mitigation Strategies

Sur la base des conclusions et des évaluations ci-dessus, nous considérons que les mesures suivantes constituent les défenses les plus efficaces contre l'exploitation des vulnérabilités par les opérateurs de ransomwares :

  • Sauf si nécessaire, assurez-vous que les appareils et les réseaux ne peuvent pas recevoir de requêtes entrantes via HTTP/S. Les vulnérabilités les plus exploitées par les ransomwares montrent une nette préférence pour les vulnérabilités critiques qui peuvent être exploitées via quelques lignes de code contre des appareils qui peuvent recevoir des requêtes HTTP/S. Nous avons constaté que cela était particulièrement vrai dans le cas des vulnérabilités liées à la traversée d'un chemin.
  • Surveillez les articles, les blogs et les référentiels de code des chercheurs en sécurité pour y trouver des références à une syntaxe d'exploitation simple basée sur les requêtes HTTP/S. Ces informations peuvent être utilisées pour détecter les tentatives d'exploitation des appareils qui doivent rester accessibles au public.
  • Pour les groupes de ransomware préoccupants, identifiez si et où ces groupes ont ciblé des vulnérabilités de manière unique afin d'établir un profil des cibles les plus probables, à la fois en termes de produits et de types de vulnérabilités.
  • Apportez le plus rapidement possible des correctifs aux vulnérabilités critiques et largement exploitées. Les statistiques sur le temps de latence montrent que les groupes de ransomware peuvent exploiter l'infrastructure vulnérable des victimes plus de trois ans après la divulgation d'une vulnérabilité.
  • N'utilisez pas la surveillance des forums criminels comme un moyen fiable d'identifier l'intérêt des groupes de ransomware pour des vulnérabilités spécifiques, car ces groupes discutent rarement de ces vulnérabilités. En outre, ne vous fiez pas aux alertes relatives aux mentions criminelles des identifiants CVE, car les criminels ne parlent généralement de ces identifiants qu'une fois qu'ils ont été exploités. Surveillez plutôt les discussions criminelles sur les fournisseurs et les produits préoccupants.

À l'horizon 2024, les progrès de l'IA générative pourraient réduire les obstacles techniques auxquels se heurtent les cybercriminels, facilitant ainsi l'exploitation de nouvelles vulnérabilités de type zero-day. Les principaux fournisseurs comme Google et Apple peuvent devenir la cible de campagnes de ransomware, qui étaient auparavant à l'abri de telles menaces. En outre, un rebond potentiel de la valeur des crypto-monnaies pourrait inciter les groupes d'extorsion à se concentrer sur le vol de portefeuilles de crypto-monnaies plutôt que sur la recherche de vulnérabilités.

To read the entire analysis, click here to download the report as a PDF.

Remarque : ce résumé du rapport a été publié pour la première fois le 8 février 2024 et a été mis à jour le 30 octobre 2024. L'analyse et les résultats d'origine restent inchangés.

Related