Une nouvelle étude Cyber Security Works (CSW), Ivanti, Cyware et Securin dévoile l’impact dévastateur des ransomwares sur les entreprises partout dans le monde en 2022. Cette étude, intitulée « 2023 Spotlight Report : Ransomware Through the Lens of Threat and Vulnerability Management » (Les ransomwares du point de vue de la gestion des menaces et des vulnérabilités), identifie 56 nouvelles vulnérabilités associées aux ransomwares, pour un total de 344 menaces identifiées en 2022... Soit une augmentation de 19 % par rapport à l’année précédente. Les pirates fouillent activement Internet, ainsi que le Deep Web et le Dark Web, pour trouver les 180 vulnérabilités connues comme étant associées aux ransomwares. Au cours du dernier trimestre 2022, ces groupes ont utilisé des ransomwares pour exploiter 21 de ces vulnérabilités.
Les Kill chains ont un impact sur davantage de produits IT : il existe désormais un code d’attaque MITRE ATT&CK complet pour 57 vulnérabilités associées aux ransomwares. Les groupes-pirates aux ransomwares peuvent se servir de Kill chains pour exploiter des vulnérabilités dans 81 produits uniques de fournisseurs comme Microsoft, Oracle, F5, VMWare, Atlassian, Apache et SonicWall.
Les scanners ne détectent pas certaines menaces : les scanners les plus populaires (comme Nessus, Nexpose ou Qualys) passent à côté des 20 vulnérabilités associées aux ransomwares.
Davantage de groupes APT lancent des attaques par ransomware : CSW a recensé plus de 50 groupes APT (Advanced Persistent Threat) déployant des ransomwares pour lancer des attaques... 51 % de plus qu’en 2020 (ils étaient alors 33%). Quatre groupes APT, à savoir DEV-023, DEV-0504, DEV-0832 et DEV-0950, sont nouvellement associés aux ransomwares depuis le 4e trimestre 2022 et ont monté des attaques paralysantes.
De nombreuses vulnérabilités n’ont pas encore été ajoutées à la liste KEV de la CISA : Bien que le catalogue des vulnérabilités exploitées connues (KEV) de la CISA répertorie 8661 vulnérabilités, 131 des vulnérabilités associées aux ransomwares n’y ont pas encore été ajoutées.
Plusieurs logiciels connaissent des problèmes liés à l’Open Source : la réutilisation du code Open Source dans les différents logiciels reproduit les vulnérabilités, comme celle découverte dans Apache Log4i. Par exemple la vulnérabilité CVE-2021-45046, qui affectait Apache Log4j, se retrouve dans 93 produits de 16 fournisseurs, et a été exploitée par le ransomware AvosLocker. Une autre vulnérabilité d’Apache Log4j, CVE-2021-45105, est présente dans 128 produits de 11 fournisseurs et a également été exploitée par le ransomware AvosLocker.
Les faiblesses des logiciels se propagent d’une version à l’autre : plus de 80 failles CWE (Common Weakness Enumerations, Énumération des faiblesses courantes) contribuent aux vulnérabilités exploitées par les pirates. Avec une augmentation de 54 % de 2021 à 2022, ce résultat souligne combien il est nécessaire que les éditeurs de logiciels et les développeurs d’applications évaluent leur code logiciel avant sa publication.
L’ancien vaut toujours de l’or pour les opérateurs de ransomwares : plus de 76 % des vulnérabilités toujours exploitées par les ransomwares ont été découvertes entre 2010 et 2019. En 2022, parmi les 56 vulnérabilités liées aux ransomwares, 20 avaient été découvertes entre 2015 et 2019.
Les scores CVSS (Common Vulnerability Scoring System) peuvent masquer les risques : l’étude montre que 57 des vulnérabilités associées aux ransomwares portent des scores faibles ou moyens, alors qu’elles apparaissent dans des familles de ransomwares dangereuses, et peuvent créer le chaos dans une entreprise et perturber la continuité des activités.
« Notre enquête montre que, pour de nombreuses entreprises, savoir n’est pas devenu pouvoir », déclare Aaron Sandeen, P.-D.G. et cofondateur de CSW et Securin. « Les équipes IT et de sécurité tombent dans le piège des vulnérabilités Open Source, anciennes et à faible score, associées aux ransomwares. Il faut que ces équipes examinent à la fois les logiciels internes et les logiciels des fournisseurs pour identifier les vulnérabilités et y remédier avant de déployer de nouvelles solutions, et pour corriger les logiciels existants dès que les vulnérabilités sont annoncées. »
« Les ransomwares sont la principale préoccupation de toutes les entreprises, privées ou publiques », commente Srinivas Mukkamala, Chief Product Officer Ivanti. « La lutte contre les ransomwares figure aujourd’hui en tête de liste pour les dirigeants du monde entier, à cause de l’impact croissant de ces attaques sur les entreprises, les communautés et les individus. Il est impératif que toutes les entreprises connaissent vraiment leur surface d’attaque et se dotent d’une sécurité multiniveau pour être résilientes face à ces attaques croissantes. »
Le rapport examine aussi plus en détail la surface d’attaque aux États-Unis. Securin a analysé passivement les actifs du gouvernement américain exposés à Internet, dans tous les États. Les principaux résultats de l’enquête incluent :
L’Ouest offre la plus grande surface d’attaque, avec le plus grand nombre d’actifs ;
Le Sud présente les expositions les plus ouvertes, suivi de près par l’Ouest ;
Le Midwest présente les expositions les plus exploitables, suivi du Sud ;
Le Sud compte le plus grand nombre d’exploitations dangereuses d’exécution de code à distance et d’élévation des privilèges (RCE/PE), avec un ratio d’une exposition critique pour 100 actifs ;
Le Midwest a le plus grand nombre d’expositions exploitables aux ransomwares, suivi de l’Ouest ;
Le Sud présente le plus grand nombre d’expositions aux CVE de la liste KEV de la CISA, suivi du Nord-Est ;
Le Midwest compte le plus grand nombre d’actifs internes exposés, tandis que le Nord-Est compte le plus grand nombre de services à haut risque.
« Les équipes IT et de sécurité travaillant pour les gouvernements d’État américains ont l’occasion de mettre en place une bonne cyber-hygiène et de réduire la surface d’attaque de leurs administrations », indique M. Sandeen. « Notre rapport établit le Top 10 des vulnérabilités sur lesquelles ces équipes doivent se concentrer. »
Les équipes IT, qui adoptent des plateformes automatisant la découverte des vulnérabilités et les scores de risque, peuvent prioriser les expositions clés, en fonction de leur impact sur les actifs et de leur criticité, pour les corriger en premier.
« Les équipes IT et de sécurité doivent corriger en continu les expositions clés afin de vraiment réduire la surface d’attaque de leur entreprise et assurer la résilience face aux ennemis », affirme Anuj Goel, cofondateur et P.-D.G. de Cyware. « Notre rapport fournit des informations intéressantes, sur lesquelles les équipes peuvent s’appuyer pour cibler leurs efforts, en commençant par les vulnérabilités Open Source les plus anciennes, que les pirates continuent d’exploiter. »