DMARC : une défense fondamentale contre les rançongiciels
Rançongiciel, Acte I
La première attaque par rançongiciel documentée a été livrée par la poste en 1989, lorsque 20 000 disquettes chargées de logiciels malveillants ont été envoyées à des chercheurs sur le SIDA à travers le monde, avec la promesse de faire progresser la recherche. Une fois chargées dans les ordinateurs, les disquettes installaient le logiciel malveillant et affichaient un message de rançongiciel exigeant un paiement pour restaurer les données et les systèmes. L'attaquant, lui-même chercheur sur le SIDA, a profité des autres chercheurs pour capitaliser sur l'urgence et l'incertitude de l'épidémie de SIDA.
Les cybercriminels continuent d'employer des tactiques d'intimidation similaires aujourd'hui, utilisant la coercition, les questions de nécessité et l'ingénierie sociale pour tromper des personnes sans méfiance. Au lieu d'utiliser le courrier postal, les cybercriminels exploitent des domaines non protégés pour envoyer des e-mails usurpés afin de déployer des rançongiciels.
Qu'est-ce qu'un rançongiciel ?
La Cybersecurity and Infrastructure Security Agency (CISA) définit le rançongiciel comme un type de logiciel malveillant “utilisé par les cyberacteurs pour refuser l'accès aux systèmes ou aux données. L'acteur cybermalveillant retient les systèmes ou les données en otage jusqu'à ce que la rançon soit payée. Après l'infection initiale, le rançongiciel tente de se propager aux lecteurs de stockage partagés et à d'autres systèmes accessibles. Si les exigences ne sont pas satisfaites, le système ou les données chiffrées restent indisponibles, ou les données peuvent être supprimées.”
Depuis la première exploitation en 1989, les attaques par rançongiciel sont malheureusement devenues des titres que nous voyons trop souvent, qu'il s'agisse d'une institution éducative, du secteur de la santé, ou d'une organisation de services essentiels ou d'infrastructures. Le fait que les rançongiciels génèrent des paiements aussi importants signifie que les cybercriminels ont affiné leurs tactiques et découvert des moyens de capitaliser sur les vulnérabilités des systèmes et des humains.
Le rançongiciel simplifié
Le logiciel malveillant a atteint un niveau de maturité qui a conduit les acteurs malveillants à adopter le rançongiciel en tant que service (RaaS) comme modèle commercial sur le dark web. Les cybercriminels dépourvus de connaissances en développement et techniques peuvent naviguer sur le dark web et s'abonner au RaaS. L'essor des cryptomonnaies a également facilité le paiement des cybercriminels et leur a permis de s'enfuir avec des paiements de rançongiciels intraçables. Ajoutez à cela un espace sûr que certains pays offrent aux opérations de rançongiciels, et vous avez des conditions idéales pour que les rançongiciels prolifèrent.
C'est pourquoi nous observons le nombre le plus élevé jamais enregistré d'attaques par rançongiciel à l'échelle mondiale. Statistica rapporte qu'en 2023, plus de 72 % des organisations de leur échantillon d'étude ont succombé à une attaque par rançongiciel, le chiffre le plus élevé jamais enregistré. Historiquement, plus de la moitié des organisations interrogées déclarent avoir été la cible d'une attaque par rançongiciel.
Et le coût pour faire face aux conséquences est de plus en plus élevé. Le Rapport sur les rançongiciels 2023 de Sophos a révélé que le coût financier de la récupération est passé de 1,4 million de dollars en 2022 à 1,82 million de dollars en 2023. Les paiements de rançongiciels ont presque doublé, passant de 812 380 dollars en 2022 à 1,54 million de dollars en 2023.
DMARC en première ligne
Étant donné que les attaques d'hameçonnage sont le principal vecteur d'attaque pour l'installation de rançongiciels, la CISA recommande aux utilisateurs et aux opérateurs de messagerie d'“activer des filtres anti-spam robustes pour empêcher les e-mails d'hameçonnage d'atteindre les utilisateurs finaux et d'authentifier les e-mails entrants à l'aide de technologies telles que Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) et DomainKeys Identified Mail (DKIM) pour prévenir l'usurpation d'e-mail.”
Une entreprise suisse d'agriculture et de production alimentaire, comptant 17 000 employés dans 100 pays, a rapporté qu'après le déploiement de DMARC, son flux d'e-mails “est passé de plus de 75 % de trafic illégitime à moins de cinq pour cent. Notre direction informatique reconnaît les avantages de DMARC et de dmarcian ; en utilisant le tableau de bord dmarcian, il a été facile de mettre en évidence les progrès réalisés dans la protection de notre domaine.”
Construit sur SPF et DKIM, DMARC est une protection fondamentale contre les rançongiciels. DMARC permet aux propriétaires de domaines de protéger leurs domaines contre toute utilisation non autorisée en luttant contre les tentatives de livraison de rançongiciels par e-mail.
L'utilité de DMARC en tant que technologie anti-usurpation découle d'une innovation significative : au lieu de tenter de filtrer les e-mails malveillants, pourquoi ne pas fournir aux opérateurs un moyen d'identifier facilement les e-mails légitimes ? La promesse de DMARC est de remplacer le modèle de sécurité e-mail fondamentalement défectueux du “filtrage du mauvais” par un modèle “n'autorisant que le bon”.
Lorsque des contrôles de sécurité robustes sont déployés contre les e-mails frauduleux, la livraison est simplifiée, la fiabilité de la marque augmente et les propriétaires de domaines bénéficient d'une visibilité sur la manière dont leurs domaines sont utilisés sur Internet. Les organisations ayant un enregistrement DMARC de p=quarantine ou p=reject en place, ainsi que des exigences DMARC pour leurs pratiques de gestion des fournisseurs, contribuent à un environnement de messagerie plus sûr contre les attaques par rançongiciel.
dmarcian s'engage à diffuser DMARC sur Internet pour stopper les attaques par rançongiciel qui prolifèrent à partir de domaines non protégés. Si vous avez besoin d'aide pour votre projet DMARC, essayez notre plateforme de gestion DMARC ou contactez-nous.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian
