DMARC : une défense fondamentale contre les ransomwares
Ransomware, Acte I
La première attaque de ransomware documentée a été livrée par le service postal en 1989, lorsque 20 000 disquettes chargées de logiciels malveillants ont été envoyées à des chercheurs sur le sida dans le monde entier, avec la promesse de faire avancer la recherche. Lorsqu'ils ont été chargés dans des ordinateurs, les disques ont installé des logiciels malveillants et affiché un message de ransomware exigeant un paiement pour restaurer les données et les systèmes. L'attaquant, lui-même chercheur dans le domaine du sida, a profité de l'urgence et de l'incertitude de l'épidémie de sida pour exploiter d'autres chercheurs.
Les cybercriminels continuent aujourd'hui d'employer des tactiques de peur similaires, en utilisant la coercition, les questions de nécessité et l'ingénierie sociale pour duper des personnes sans méfiance. Au lieu d'utiliser le courrier postal, les cybercriminels se servent de domaines non protégés pour envoyer des courriels frauduleux afin de déployer des ransomwares.
Qu'est-ce qu'un ransomware ?
La Cybersecurity and Infrastructure Security Agency (CISA) définit les ransomwares comme un type de logiciel malveillant que "les cyberacteurs utilisent pour refuser l'accès à des systèmes ou à des données. Le cyberacteur malveillant tient les systèmes ou les données en otage jusqu'à ce que la rançon soit payée. Après l'infection initiale, le ransomware tente de se propager aux disques de stockage partagés et aux autres systèmes accessibles. Si les demandes ne sont pas satisfaites, le système ou les données cryptées restent indisponibles, ou les données peuvent être supprimées."
Depuis le premier exploit en 1989, les attaques par ransomware sont malheureusement devenues des gros titres que nous voyons trop souvent, qu'il s'agisse d'un établissement d'enseignement, de soins de santé ou d'une organisation de services ou d'infrastructures essentiels. Le fait que les ransomwares rapportent des sommes aussi importantes signifie que les cybercriminels ont affiné leurs tactiques et découvert des moyens de tirer parti des vulnérabilités des systèmes et des personnes.
Les ransomwares en toute simplicité
Le logiciel malveillant a atteint un niveau de maturité qui a conduit les acteurs malveillants à adopter le modèle commercial du Ransomware-as-a-Service (RaaS) sur le dark web. Les cybercriminels manquant de développement et de connaissances techniques peuvent surfer sur le dark web et s'abonner à RaaS. L'essor des crypto-monnaies a également permis aux cybercriminels de se faire payer plus facilement et de s'en tirer avec des paiements de ransomware intraçables. Ajoutez à cela un espace sûr que certains pays se permettent pour les opérations de ransomware et vous avez les conditions idéales pour que les ransomwares abondent.
C'est pourquoi le nombre d'attaques de ransomware est le plus élevé jamais enregistré dans le monde. Selon Statistica, en 2023, plus de 72 % des organisations de l'échantillon étudié auront été victimes d'une attaque par ransomware, soit le chiffre le plus élevé jamais enregistré. Historiquement, plus de la moitié des organisations interrogées déclarent avoir fait l'objet d'une attaque par ransomware.
Et le prix à payer pour faire face aux conséquences est de plus en plus élevé. Le Ransomware Report 2023 de Sophos a révélé que le coût financier de la récupération est passé de 1,4 million de dollars en 2022 à 1,82 million de dollars en 2023. Les paiements de ransomeware ont presque doublé, passant de 812 380 dollars en 2022 à 1,54 million de dollars en 2023.
DMARC en première ligne
Les attaques de phishing étant le principal vecteur d'attaque pour l'installation de ransomwares, la CISA recommande aux utilisateurs et aux opérateurs de messagerie "d'activer des filtres anti-spam puissants pour empêcher les e-mails de phishing d'atteindre les utilisateurs finaux et d'authentifier les e-mails entrants à l'aide de technologies telles que Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) et DomainKeys Identified Mail (DKIM) pour empêcher l'usurpation d'e-mails".
Une société de production agricole et alimentaire basée en Suisse, comptant 17 000 employés dans 100 pays, a indiqué qu'après avoir déployé DMARC, son flux d'e-mails "est passé de plus de 75 % de trafic illégitime à moins de 5 %. Notre direction informatique reconnaît les avantages de DMARC et de dmarcian ; en utilisant le tableau de bord dmarcian, il a été facile de mettre en évidence les progrès réalisés dans la protection de notre domaine."
Basé sur SPF et DKIM, DMARC est une protection fondamentale contre les ransomwares. DMARC permet aux propriétaires de domaines de protéger leurs domaines contre toute utilisation non autorisée en luttant contre les tentatives de livraison de ransomware par courrier électronique.
L'utilité de DMARC en tant que technologie anti-spoofing découle d'une innovation importante : au lieu d'essayer de filtrer les e-mails malveillants, pourquoi ne pas fournir aux opérateurs un moyen d'identifier facilement les e-mails légitimes ? La promesse de DMARC est de remplacer le modèle de sécurité du courrier électronique fondamentalement défectueux qui consiste à "filtrer les mauvais messages" par un modèle qui "n'autorise que les bons messages".
Lorsque des contrôles de sécurité solides sont déployés contre les courriels frauduleux, la livraison est simplifiée, la fiabilité de la marque augmente et les propriétaires de domaines ont une meilleure visibilité sur la façon dont leurs domaines sont utilisés sur Internet. Les organisations ayant un enregistrement DMARC de p=quarantine ou p=reject en place, ainsi que des exigences DMARC pour leurs pratiques de gestion des fournisseurs, contribuent à un paysage de messagerie plus sûr contre les attaques de ransomware.
dmarcian s'engage à diffuser DMARC sur Internet pour mettre fin aux attaques de ransomware qui prolifèrent à partir de domaines non protégés. Si vous avez besoin d'aide pour votre projet DMARC, testez notre plateforme de gestion DMARC ou contactez-nous.
Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien
