LAS VEGAS — Les tendances en matière de cyberassurance ont été au centre des préoccupations lors du Black Hat USA 2024 en raison de l’évolution rapide du paysage des menaces dans lequel les attaquants continuent de s’adapter à des défenses améliorées.
Plusieurs sessions Black Hat ont mis en évidence la manière dont les politiques de cyberassurance s’adaptent aux changements dans les tactiques, techniques et procédures des acteurs de la menace. Le sujet a également été fréquemment abordé lors des conversations que TechTarget Editorial a eues avec des experts en sécurité informatique lors de la conférence.
Les ransomwares sont une menace persistante qui a été abordée à plusieurs reprises par les conférenciers en cyberassurance et les experts en infosec. Les risques continuent de s’aggraver, comme en témoignent deux attaques majeures au cours des six derniers mois, dont une contre Change Healthcare du groupe UnitedHealth et une autre qui a perturbé CDK Global. Les attaques ont montré que même si les acteurs malveillants s’adaptent rapidement, les entreprises ont également du mal à mettre en œuvre des protocoles de sécurité de base tels que l’authentification multifacteur pour se protéger contre les ransomwares.
Mercredi, lors d’une séance intitulée « Perspectives des cyber-réclamations 2024 : tendances, menaces et défis de demain », Catherine Lyle, vice-présidente senior et responsable des cyber-réclamations et de la réponse aux incidents chez Tokio Marine, a souligné à quel point les ransomwares sont devenus dangereux. Elle a déclaré qu’il y avait eu un répit concernant les ransomwares tout au long de 2022 en raison de conflits géopolitiques, mais que celui-ci était revenu « de manière agressive ».
“À cause des pays déchirés par la guerre, les gens fuyaient, donc ces cyber [crime] Les entreprises se sont séparées”, a déclaré Lyle au cours de la session. “Puis ils se sont contactés et se sont trouvés, et maintenant ils ont créé de nouveaux groupes. Aujourd’hui, les ransomwares sont de retour, et nous le voyons avec de grosses rançons – MGM, Caesars, Change Healthcare, CDK, je pourrais continuer encore et encore. »
Lyle a développé l’attaque Change Healthcare survenue en février. Malgré le paiement d’une rançon de 22 millions de dollars au groupe de rançongiciels Alphv/BlackCat, la société a continué de subir des interruptions prolongées des services de paiement et de remboursement ; le gang de ransomwares a fermé ses portes peu de temps après dans une apparente arnaque à la sortie. Lyle a déclaré que l’attaque représentait de multiples changements qu’elle avait observés dans le paysage des ransomwares. En plus de l’attaque Change Healthcare affectant l’assurance, ces changements influenceront également les politiques à venir.
Par exemple, les variantes de ransomwares sont désormais constituées de groupes de menaces plus petits, ce qui a modifié la manière dont les acteurs malveillants demandent des rançons et négocient avec les organisations victimes. De plus, Lyle a cité un changement dans la chaîne d’approvisionnement des ransomwares. Tout au long de 2023 et jusqu’en 2024, il y a eu une augmentation du nombre de courtiers d’accès initial vendant l’accès aux organisations victimes, a-t-elle déclaré.
“Nous avons constaté ce changement lors de l’attaque contre Change Healthcare”, a déclaré Lyle. “Ils ont payé 22 millions de dollars en rançon, 4 téraoctets de données ont été confisqués, mais ils ont ensuite été à nouveau rançonnés parce que quelqu’un dans cette chaîne d’approvisionnement a dit ‘Alphv ne nous a pas payés, donc nous avons eu 4 téraoctets et nous allons les garder.’ toi.'”
Catherine Lylevice-président senior et responsable des cyber-réclamations et de la réponse aux incidents, Tokio Marine
Lyle a déclaré que des attaques comme celles contre Change Healthcare et CDK Global, qui ont perturbé les chaînes d’approvisionnement technologiques et des milliers de clients en aval, continueront de constituer un problème majeur. CDK, par exemple, dessert plus de 15 000 concessionnaires automobiles, qui n’ont pas pu accéder au système de gestion des concessions de CDK pendant deux semaines après l’attaque.
“Comme vous pouvez le constater, ce que la chaîne d’approvisionnement et tous ces cas vous montrent, c’est que la défaillance du système de dépendance sera un problème majeur en 2024 et 2025”, a déclaré Lyle.
Préoccupations concernant l’AMF
L’attaque Change Healthcare a également illustré davantage la nécessité d’une protection MFA. En avril, UnitedHealth a confirmé que les acteurs du ransomware avaient d’abord accédé au réseau de Change Healthcare via des informations d’identification compromises pour un portail d’accès à distance Citrix, sur lequel la MFA n’était pas activée. “S’ils avaient eu le MFA, cela ne serait probablement pas arrivé”, a déclaré Lyle.
Change Healthcare n’est pas la seule organisation à avoir du mal à mettre en œuvre la MFA. Lyle a déclaré que les VPN sans MFA ont remplacé le protocole ouvert de bureau à distance en tant que deuxième vecteur d’intrusion initial le plus utilisé entre 2023 et 2024, selon les recherches de Tokio Marine.
Plus alarmant encore, Lyle a présenté des recherches qui ont montré que les organisations mettent de moins en moins en œuvre la MFA. Elle a déclaré que 70 % des organisations n’utilisaient pas la MFA en 2021, et que ce chiffre est tombé à 44 % en 2023. Cette année, cependant, 45 % des organisations déclarent qu’elles ne mettent pas en œuvre le protocole de sécurité de base.
Elle a reconnu que les attaquants pouvaient contourner la MFA, en particulier si l’organisation est une cible de choix, mais a déclaré que cela était essentiel pour retarder les attaques et rendre plus difficile l’accès des acteurs malveillants au réseau. “J’aurais pensé que les entreprises comprendraient désormais que c’est ainsi qu’elles protégeront leurs employés”, a-t-elle déclaré.
Mercredi, lors d’un panel distinct sur la cyberassurance intitulé « Risques moraux et considérations éthiques dans la cyber-assurance », Tiago Henriques, vice-président de la recherche chez Coalition Inc., a discuté de l’importance pour les organisations de permettre la MFA en réponse à l’évolution du paysage des menaces.
Henriques a souligné que permettre l’AMF est une condition majeure pour obtenir une politique. “Si l’AMF n’est pas appliquée aux e-mails, bonne chance pour obtenir une politique aujourd’hui”, a-t-il déclaré au cours de la session.
En plus de cibler les comptes sans MFA, les acteurs du ransomware exploitent également de plus en plus les vulnérabilités pour obtenir un accès initial aux organisations victimes. Patrick Sullivan, CTO de la stratégie de sécurité chez Akamai, a déclaré que l’une des sessions les plus intéressantes auxquelles il a assisté à Black Hat portait sur la quantification des risques pour l’assurance.
“Il a été intéressant de suivre les tables actuarielles et ce que coûte chaque million de dollars de couverture d’assurance, et les ransomwares ont probablement dominé ce calcul. Je pense que l’entreprise a réagi à cela”, a déclaré Sullivan. “Les gens pensent encore que les ransomwares commencent par l’ingénierie sociale, mais il est significatif qu’il s’agisse désormais de vulnérabilités.”
Influence des assureurs sur les paiements
Les conférenciers et les participants de Black Hat ont également approfondi la discussion sur le paiement de la rançon. Des attaques très médiatisées et des rançons à huit chiffres ont contraint certains acteurs du secteur à reconsidérer une interdiction de paiement.
D’un autre côté, Lyle a déclaré que de nombreuses organisations disposent de meilleures sauvegardes à restaurer et refusent donc de payer une rançon. Elle a également souligné que les démantèlements des forces de l’ordre ont montré aux organisations que les gangs de ransomwares ne sont pas dignes de confiance et ne suppriment pas toujours les données volées après avoir été payés.
Dans de nombreux cas, les assureurs sont les premiers appels des organisations victimes après une attaque et contribuent aux efforts de réponse aux incidents, y compris la négociation du paiement des rançons. Tony Anscombe, évangéliste en chef de la sécurité chez ESET, a déclaré qu’il y avait des avantages à avoir une cyber-assurance, mais il s’inquiète de l’influence des assureurs sur la décision de payer des rançons.
“Les assureurs ont trop de pouvoir sur les paiements des ransomwares parce que c’est leur risque. C’est là le problème. Je pense que nous devons retirer la décision à l’entreprise et à l’assureur”, a déclaré Anscombe, ajoutant qu’un organisme de réglementation externe pourrait examiner les incidents individuels et déterminer si l’organisation victime doit payer.
Lindsay Nickle, associée et vice-présidente de l’équipe cyber chez Constangy Brooks Smith & Prophete LLP, a pris la parole lors du panel de mercredi et a déclaré que l’une des questions les plus courantes qu’elle reçoit est de savoir si les gens paient des rançons. Elle a souligné que les compagnies d’assurance peuvent être utiles dans les cas où les entreprises souhaitent payer mais ne savent pas comment obtenir du Bitcoin, par exemple. Les groupes de ransomware exigent des paiements en crypto-monnaie comme le bitcoin, car il est difficile à suivre.
“Oui, ils paient des rançons. Nous abordons toujours la question dans la perspective qu’il s’agit de notre dernier effort”, a déclaré Nickle.
Arielle Waldman est une journaliste basée à Boston qui couvre l’actualité de la sécurité des entreprises.