Cibles privilégiées : L'impact des ransomwares sur l'industrie

Les ransomwares restent l'un des défis de sécurité les plus pressants pour les organisations du monde entier. Dans le premier épisode de notre série de blogs sur les ransomwares, nous nous sommes penchés sur les conclusions du rapport de l'Institut Cyentia sur les ransomwares, parrainé par la CISA, qui révèle que les actifs exposés et publics sont les principaux vecteurs d'accès initial pour les groupes de ransomwares.

Dans ce nouvel épisode de notre série, nous examinons les principales conclusions du rapport semestriel H1 2024 sur les rançongiciels de la Global Resilience Federation (GRF) et leurs implications pour l'industrie manufacturière, ainsi que les mesures que les équipes de sécurité de l'industrie peuvent prendre pour agir.

Quelles sont les recherches effectuées par le GRF ? 

Le rapport de GRF sur les ransomwares a recueilli des données provenant à la fois de sources publiques et de forums fermés d'acteurs de la menace pour compiler des données sur 1 690 attaques de ransomwares au cours du premier semestre 2024. Ce rapport semestriel vise à mesurer l'impact des attaques de ransomware et à identifier les tendances qui façonnent le paysage de la sécurité.

Les principaux enseignements de leur rapport H1 2024 sont les suivants :

• Le principal acteur de la menace ransomware était LockBit, avec 340 attaques réussies.
• Les États-Unis ont été la cible de 64 % des attaques de ransomware.
• La réextorsion est apparue comme une complication pour les victimes et pour le modèle d'entreprise "Ransomware-as-a-Service" lui-même.
• L'industrie manufacturière a été le secteur le plus visé par les attaques de ransomware, avec 281 victimes.

L'industrie manufacturière étant l'une des principales cibles, nous examinons de plus près les principales conclusions relatives à ce secteur en particulier. (Remarque : le rapport du GRF couvre également l'impact des ransomwares sur d'autres secteurs, notamment l'éducation, l'énergie et les services professionnels).

L'impact des ransomwares sur l'industrie manufacturière au premier semestre 2024 

1. La menace qui pèse sur l'écosystème manufacturier mondial reste élevée 

L'analyse de GRF révèle qu'au cours du premier semestre 2024, les entreprises manufacturières critiques ont subi le plus grand nombre d'attaques de ransomware de tous les secteurs, avec 281 attaques réussies à l'échelle mondiale. Le secteur a conservé sa première place par rapport à 2023 ; la fabrication critique était également l'industrie la plus ciblée dans le rapport sur les ransomwares du 2e semestre 2023 de GRF.

GRF suggère que l'industrie manufacturière a été un secteur attractif pour les groupes de ransomware parce que le secteur dépend fortement des opérations physiques pour générer des profits. Plutôt que de se contenter de chiffrer les données, les acteurs malveillants peuvent lancer des attaques par déni de service sur les systèmes OT, ICS et autres systèmes connectés à Internet dont les fabricants dépendent pour leur production. Ces attaques peuvent paralyser les opérations et avoir des répercussions à long terme sur l'ensemble de la chaîne d'approvisionnement.

Le risque de perturbation dans l'industrie manufacturière est donc élevé, tout comme le fait que les acteurs de la menace s'attendent à ce que les entreprises manufacturières paient une rançon pour reprendre leurs activités. En 2023, 62 % des victimes de l'industrie manufacturière ont payé une rançon, soit près du double du montant payé en 2022 (34 %), selon un rapport de Sophos.

Les exemples d'attaques récentes de ransomware dans l'industrie manufacturière abondent. En 2023, une attaque de ransomware contre le fabricant de biens de consommation Clorox a entraîné une pénurie prolongée de produits et des dommages totaux de 356 millions de dollars. Les attaques de ransomware contre le fabricant d'ordinateurs portables Clevos et le fabricant d'équipements de télécommunications Allied Telesis font partie des nombreuses attaques qui ont eu lieu dans l'industrie au cours du premier semestre 2024, selon les rapports de Dragos.

2. Le passage aux petits fabricants : Une préoccupation croissante

Les groupes de ransomware ciblent également de nouveaux groupes démographiques au sein de l'industrie manufacturière. GRF indique que si les attaques de ransomware ont toujours été lancées contre des entreprises manufacturières de taille moyenne, au premier semestre 2024, les petits fabricants ont pris une légère avance et sont devenus le groupe le plus attaqué au sein de l'industrie. Comme l'indique GRF, "la raison de ce changement n'est peut-être pas due à des incitations financières, mais plutôt au fait que les fabricants de taille moyenne renforcent de plus en plus leurs systèmes, ce qui les oblige à se tourner vers des cibles plus faciles."

D'une part, ce résultat est encourageant, car il suggère que davantage d'entreprises manufacturières ayant les moyens de renforcer leurs défenses en matière de cybersécurité le font. D'autre part, il souligne qu'aucune entreprise n'est trop petite pour échapper à l'attention des groupes de ransomware et que ces acteurs de la menace accepteront les paiements de rançon là où ils pourront les obtenir.

3. Renforcer les défenses : Un bilan mitigé

Le rapport de GRF offre une lueur d'espoir : il semble que le secteur manufacturier soit de plus en plus conscient de la nécessité de mettre en place des mesures de cybersécurité robustes. Le nombre d'attaques réussies de ransomware contre des fabricants a diminué de 20 % au premier semestre 2024 par rapport au second semestre 2023, selon le rapport de GRF. Cependant, il est trop tôt pour dire s'il s'agit d'une tendance durable.

Malgré ces progrès, les fabricants restent une cible privilégiée. Pour garder une longueur d'avance, il est essentiel de comprendre comment les groupes de ransomware opèrent. Le récent rapport de l'Institut Cyentia sur les ransomwares a révélé que les actifs exploités et accessibles au public sont les principaux points d'accès aux attaques de ransomwares. Les acteurs de la menace considèrent ces vulnérabilités non corrigées comme des cibles faciles, et les exploitent souvent avant que les équipes de sécurité ne puissent les corriger.

Comment Censys aide les équipes de sécurité à garder une longueur d'avance

Pour minimiser le risque d'attaques réussies par ransomware et prendre des mesures immédiates contre les expositions que les mauvais acteurs exploiteront, les équipes de sécurité de l'industrie ont besoin d'une visibilité continue sur tous leurs systèmes et appareils connectés à l'Internet public.

Les équipes chargées de la sécurité industrielle peuvent obtenir cette visibilité complète grâce à Censys.

Les clients de Censys Search et de Censys ASM peuvent exécuter les requêtes suivantes sur les cas d'utilisation dans le secteur de la fabrication à l'aide de notre principal ensemble de renseignements sur Internet afin d'identifier, de surveiller et de protéger leurs actifs en contact avec Internet.

Requêtes pour les cas d'utilisation dans l'industrie manufacturière 

Protocoles pertinents : 

Protocoles d'automatisation des bâtiments

BACnet

• Recherche : services.service_name:BACNET
• Requête ASM : host.services.service_name:BACNET

LonWorks

• Recherche : services.software : (vendor="Echelon" and product : "i.LON")
• ASM Query : host.services.software : (vendor="Echelon" and product : "i.LON")

Communication PLC (Programmable Logic Controller)

Unitronics PCOM

• Recherche : services.service_name:PCOM
• Requête ASM : host.services.service_name:PCOM

CODESYS

• Recherche : services.service_name:CODESYS
• Requête ASM : host.services.service_name:CODESYS

Siemens S7

• Recherche : services.service_name:S7 or services.software.product:`SIMATIC S7`
• ASM Query : host.services.service_name:S7 or host.services.software.product:`SIMATIC S7`

Réseaux industriels et IIoT

EtherNet/IP

• Requête de recherche : services.service_name:EIP
• Requête ASM : host.services.service_name:EIP

OPC UA

• Recherche : services.service_name:OPC_UA
• Requête ASM : host.services.service_name:OPC_UA

HMI/SCADA

Lion rouge cramoisi

• Recherche : services.service_name:REDLION_CRIMSON ou services.software :(vendor="Red Lion" and product="Crimson")
• Requête ASM : host.services.service_name:REDLION_CRIMSON ou host.services.software :(vendor="Red Lion" and product="Crimson")

IEC 61850

• Recherche : services.service_name=IEC60870_5_104
• Requête ASM : host.services.service_name=IEC60870_5_104

Requêtes des vendeurs :

Allen-Bradley/Rockwell Automation

• Search Query: services: (parsed.eip.identity.vendor_name=”Rockwell Automation/Allen-Bradley” or software.vendor: “Rockwell Automation”) and not labels: {tarpit, honeypot}
• ASM Query: host.services: (parsed.eip.identity.vendor_name=”Rockwell Automation/Allen-Bradley” or software.vendor: “Rockwell Automation”) and not host.labels: {tarpit, honeypot}

Beckhoff

• Search Query : services.tls.certificates.leaf_data.subject_dn="C=DE, ST=Nordrhein-Westfalen, L=Verl, O=Beckhoff Automation GmbH & Co. KG, CN=\*.beckhoff.com"
• ASM Query : host.services.tls.certificates.leaf_data.subject_dn="C=DE, ST=Nordrhein-Westfalen, L=Verl, O=Beckhoff Automation GmbH & Co. KG, CN=\*.beckhoff.com"

Siemens

• Search Query: services.software.vendor: “Siemens” and not labels: {tarpit, honeypot}
• ASM Query: host.services.software.vendor: “Siemens” and not host.labels: {tarpit, honeypot}

Pour un exemple de Censys en action, consultez notre tutoriel sur la découverte et la protection des dispositifs OT à l'aide d'une simple chaîne de requêtes.

 

L'équipe de recherche Censys a également exploité l'ensemble de données exclusives qui alimente Censys Search et Censys ASM afin d'identifier les risques liés aux systèmes de contrôle industriel (ICS) connectés à l'internet, dont beaucoup sont utilisés par les fabricants.

Dans son dernier rapport de recherche, l'équipe a trouvé 18 000 dispositifs exposés aux États-Unis qui contrôlent probablement des systèmes industriels. Ces résultats soulignent l'importance pour les fabricants de mieux gérer les risques d'exposition et de minimiser les risques d'attaques. Vous pouvez lire leur rapport ici.

Conclusion : Réduire les risques avec Censys 

Les entreprises manufacturières de toutes tailles s'appuient sur Censys comme ligne de défense essentielle contre les ransomwares et autres attaques.

Avec Censys Gestion de la surface d'attaque (ASM)les équipes de sécurité des entreprises manufacturières obtiennent une vue complète, précise et actualisée de l'ensemble de leur surface d'attaque, y compris une visibilité sur les actifs connus et inconnus.

Censys ASM donne aux équipes les moyens d'agir :

• Découverte continue des actifs: Découvrez automatiquement tous les actifs de votre surface d'attaque, y compris ceux qui échappent souvent à d'autres outils.
• Inventaires complets des actifs: Maintenir un inventaire détaillé et en temps réel de tous les actifs, ce qui permet de hiérarchiser efficacement les vulnérabilités.
• Hiérarchisation des risques : Identifier et hiérarchiser les vulnérabilités les plus critiques pour s'assurer qu'elles sont corrigées avant que les groupes de ransomware ne puissent les exploiter.
• Alertes de réponse rapide : Recevez des alertes dans les 24-72 heures si vos actifs sont affectés par de nouveaux exploits de type "zero-day". Censys est le seul fournisseur ASM à offrir un programme de réponse rapide.

Les équipes chargées de la sécurité peuvent également tirer parti Censys Recherche pour rechercher directement les protocoles et services exposés. Comme pour Censys ASM, Censys Search exploite notre intelligence Internet de pointe pour donner aux utilisateurs une vue inégalée de l'Internet public. Avec des requêtes faciles à utiliser, des étiquettes en langage clair et des milliers de champs consultables, les équipes de sécurité industrielle peuvent utiliser Censys Search pour identifier et atténuer rapidement les risques avant qu'ils ne conduisent à une attaque.

Vous pouvez en savoir plus sur les façons spécifiques dont Censys aide à limiter l'impact des ransomwares sur l'industrie et d'autres organisations dans notre récent blog. Vous pouvez également nous contacter pour un entretien personnalisé avec l'un des membres de notre équipe.

Lire le rapport complet de GRF