La fonction de la cybersécurité n’est pas d’éliminer toutes les attaques et les compromis – c’est impossible – mais de rendre l’attaque si coûteuse et chronophage pour l’attaquant qu’il passe simplement à une cible plus facile. C’est l’objectif d’un nouveau produit/service conçu pour rendre les attaques de ransomwares moins faciles pour l’attaquant.

Les experts en sécurité de Qualys ont analysé 36 principales familles de ransomwares et leurs attaques au cours des cinq dernières années. Ils constatent que les vulnérabilités non corrigées, les erreurs de configuration des appareils, les actifs connectés à Internet et les logiciels non autorisés figurent systématiquement parmi les principaux vecteurs d’attaque.

En s’appuyant sur sa propre plate-forme cloud VMDR et en appliquant les résultats de ses recherches, Qualys a développé un service sur mesure, le Ransomware Risk Assessment Service, conçu pour détecter et corriger les voies les plus courantes empruntées par les attaques de ransomware.

Leurs chercheurs ont isolé les 110 CVE les plus utilisés par les criminels dans ces attaques. Dans presque tous les cas, ces vulnérabilités ont été corrigées par le fournisseur, mais non corrigées par la victime. Par exemple, les cinq principaux CVE exploités par les gangs de rançongiciels sont CVE-2013-1493 (utilisé par Exxroute, fournisseur corrigé en mars 2013) ; CVE-2013-0431 (utilisé par Reveton, corrigé en février 2013) ; CVE-2012-1723 (Urausy, juin 2012) ; CVE-2019-1458 (NetWalker, décembre 2019) ; et CVE-2018-12808 (Ryuk/Conti, août 2018).

Si ces CVE avaient été corrigés par les victimes, l’attaquant serait obligé de trouver un point d’entrée différent, ou tout aussi probablement déplacé vers un site non corrigé. Dans l’état actuel des choses, un rapport Qualys suggère que seuls ces cinq CVE ont, via des ransomwares, « un impact négatif sur des millions d’actifs dans les organisations du monde entier ».

L’importance de l’application de correctifs est bien comprise – l’échec continu des organisations à effectuer des correctifs complets est moins facile à comprendre. Une étude de Trustwave fin septembre…