Une réponse rapide aux incidents pour atténuer les dommages des attaques et réduire ainsi les délais de reprise d’activité

Lors de la récente vague d’attaque Ryuk, Sophos Rapid Response a révélé la première utilisation de Buer, un malware de type « dropper » servant à implanter des ransomwares

PARIS — octobre 30, 2020 —

Sophos, leader mondial de la cybersécurité Next-Gen, annonce la disponibilité de Sophos Rapid Response, le premier service du marché de réponse à distance aux incidents pour un tarif forfaitaire, destiné à l’identification et à la neutralisation des cyberattaques actives au cours des 45 jours que dure une intervention. Sophos Rapid Response met à la disposition des entreprises une équipe dédiée 24 heures sur 24, 7 jours sur 7, à la réponse aux incidents, à la chasse des menaces et leur analyse, afin de bloquer rapidement les attaques avancées et d’éliminer les intrus sur leurs réseaux, en réduisant les dommages, les coûts et les délais de reprise de l’activité.

Sophos Rapid Response a permis de mettre en lumière la première utilisation connue de Buer, un malware de type « dropper » destiné à implanter des ransomwares. Dans une nouvelle étude publiée aujourd’hui, intitulée Hacks for Sale: Inside Buer Loader's Malware-as-a-Service, Sophos détaille la façon dont Buer infecte les PC Windows pour y implanter une charge malveillante. Sophos Rapid Response a permis cette découverte récemment, alors qu’il était occupé à lutter contre une attaque menée à l’aide du ransomware Ryuk – qu’il est parvenu à détecter et à neutraliser – laquelle appartenait à une vague d’incursions Ryuk utilisant de nouvelles formes d’outils, de techniques et de procédures. Sophos a fait cette découverte en neutralisant l’une de ces attaques récentes. Lors de l’incident en question, des assaillants ont utilisé sans relâche le dropper Buer pour tenter de lancer le ransomware Ryuk, puis ont redoublé d’efforts en combinant Buer avec d’autres types de téléchargeurs.

« En cas d’attaque, la rapidité est essentielle. Chaque minute compte entre l’infection initiale et la neutralisation tandis que le cycle de l’attaque se déroule à grande vitesse », souligne Joe Levy, CTO de Sophos. « Des attaques avancées peuvent rapidement paralyser les activités d’une entreprise, comme ne le savent que trop bien les responsables informatiques ayant eu directement affaire à un ransomware. Ces derniers font état de la nécessité de consacrer proportionnellement plus de temps à la réponse aux incidents et moins de temps à la prévention des menaces que ceux qui n’en ont pas été victimes. Sophos Rapid Response interrompt les attaques actives, évitant le processus long et complexe destiné à bloquer des assaillants déterminés, de sorte que les entreprises puissent reprendre plus rapidement leur activité normale. »

Sophos Rapid Response neutralise un large éventail d’incidents de sécurité : ransomwares, intrusions sur le réseau, attaques manuelles de type « hands-on keyboard », etc. L’équipe Sophos Rapid Response peut être intégrée à l’entreprise et activée en l’espace de quelques heures, et la majorité des attaques peuvent être triées sous 48 heures.

« Cette année, des attaques dévastatrices de ransomware ont malheureusement constitué une mine d’or pour les cybercriminels, un phénomène d’un ampleur inédite dans le secteur de la cybersécurité. Près de 85 % des attaques pour lesquelles Sophos Rapid Response a eu jusqu’ici un rôle à jouer  étaient liées à  l’utilisation d’un ransomware – notamment RyukREvil et Maze – et je peux affirmer en toute confiance que la plupart des autres attaques auxquelles nous avons dû mettre un terme auraient également abouti à une demande de rançon si nous n’avions pas agi si promptement », commente Peter Mackenzie, responsable de la réponse aux incidents chez Sophos. « Des outils facilement accessibles permettent aux auteurs des attaques de gagner plus d’argent en une semaine que la plupart d’entre nous au cours d’une vie entière de travail. Des criminels infiltrent les réseaux et planifient discrètement leurs attaques en coulisses, avant de lancer à un moment stratégique un ransomware intégré à la charge malveillante finale, souvent pendant la nuit, lorsque personne ne surveille les systèmes, afin de l’exécuter sur le plus grand nombre possible de machines. Sophos Rapid Response intervient alors immédiatement pour éteindre l’incendie, ce qui – comme dans le cas d’un hôpital auquel nous sommes venus en aide ce mois-ci après qu’une attaque par le ransomware Ryuk l’eut contraint à fermer – peut être une question de vie ou de mort. »

Sophos Rapid Response fait partie de Sophos Managed Threat Response (MTR), une équipe mondiale qui offre des services proactifs, entièrement managés, de chasse aux menaces, de détection et de réponse. Figurant parmi les services managés de détection et de réponse (MDR) les plus utilisés du marché avec plus de 1400 clients, Sophos MTR se distingue par sa capacité d’agir proactivement pour le compte d’une entreprise afin de neutraliser les menaces en temps réel.

Une fois les menaces immédiates neutralisées lors d’une intervention de Sophos Rapid Response, le service évolue vers une surveillance proactive en continu, 24 heures sur 24, pour la chasse, l’investigation, la détection et le traitement des menaces par l’équipe Sophos MTR. Un rapport d’investigation détaille les découvertes effectuées, les mesures prises et les autres remèdes recommandés, aidant ainsi les entreprises à déterminer l’origine des attaques, les ressources infectées et les données piratées.

Sophos Rapid Response est disponible dès à présent pour les clients existants ou non de Sophos. A la différence des services classiques de réponse aux incidents et d’investigation qui nécessitent des déploiements longs et complexes facturés à l’heure, Sophos Rapid Response est une offre à distance à prix forfaitaire en fonction du nombre d’utilisateurs et serveurs de l’entreprise. Sophos Rapid Response est également structuré pour répondre aux besoins des entreprises de toutes tailles, y compris les plus petites, qui jusqu’ici ne pouvaient facilement bénéficier d’un service de cette nature sans avoir à payer un tarif d’astreinte.

Témoignages d’analystes:

« Les cyberattaques deviennent de plus en plus sérieuses et gagnent en sophistication. Comme nous avons pu le constater cette année, en temps de crise, personne n’est à l’abri. Une étude menée par IDC révèle que 85 % des acteurs sondés ont subi au moins une incursion due à une faille de sécurité qui a entraîné des dépenses supplémentaires conséquentes afin d’être rectifiée au cours des deux dernières années ; c’est pourquoi les entreprises doivent se tenir prêtes, » déclare Frank Dickson, program vice president chez IDC. « L’offre Sophos Rapid Response est un service dont personne ne veut avant d’en avoir besoin. Néanmoins, de nombreuses entreprises sont tout simplement mal préparées à lutter contre une attaque active ou désireuses de réagir plus rapidement et de manière plus agressive que leurs ressources internes ne le permettent. Grâce à sa tarification forfaitaire prévisible et sa capacité d’activation le jour même, Sophos Rapid Response offre des garanties aux clients au moment où ceux-ci en ont le plus besoin. »

Ressources complémentaires

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées pour surmonter les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents, ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversales de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.