Comment protéger votre entreprise contre les ransomwares?

10 astuces pour vous protéger contre le phishing

Apprenez à identifier et à éviter les emails de phishing grâce à ces astuces

Les attaques par ransomware deviennent incontrôlables.

Nous vivons dans une période d'incertitude sans précédent et les attaques de ransomware échappent à tout contrôle. Au cours des 24 derniers mois, l'évolution des tactiques des pirates informatiques a entraîné une recrudescence des attaques par ransomware. La menace des ransomwares représente actuellement la plus grave menace informatique pour les entreprises et les institutions. Ce risque est de plus en plus difficile à contrôler et à atténuer. Avec un si grand nombre d'appareils dispersés dans les réseaux d'entreprise, il est difficile pour les professionnels de la sécurité de faire face aux problèmes de cybersécurité.

De plus en plus de groupes cybercriminels ciblent spécifiquement les entreprises financièrement solides dans le cadre d'attaques dites "Big Game Hunting", parfois menées en combinaison avec d'autres codes malveillants (trojans bancaires ou crypto mining). Ces attaques sont menées par des groupes d'attaquants disposant d'importantes ressources financières et de compétences techniques pointues.

Les incidents de la Colonial Pipeline et de Kaseya illustrent l'impact croissant des cybermenaces dans tous les secteurs d'activité ainsi que leurs effets à grande échelle. C'est assez simple, les entreprises paient soit un petit montant dès le départ en investissant correctement dans leur cybersécurité, soit beaucoup plus par la suite pour faire face aux effets désastreux d'une cyberattaque.

Qu'est-ce qu'une attaque par ransomware et comment elle se produit?

Les attaques par ransomware mettent votre entreprise en danger.

Un ransomware est un programme malveillant et persistant dont le but est de chiffrer vos données, pour les rendre illisibles et non récupérables pour vous extorquer de l'argent en échange d'une clé pour récupérer vos données. Une attaque par ransomware est généralement transmise par le biais d'une pièce jointe à un e-mail, qui peut être un fichier exécutable, une archive ou une image. Une fois la pièce jointe ouverte, le logiciel malveillant est diffusé dans le système de l'utilisateur. Les cybercriminels peuvent également placer le malware sur des sites web. Lorsqu'un utilisateur visite le site à son insu, le malware est diffusé dans le système.

Certains ransomwares peuvent brouiller les noms de fichiers afin que les victimes ne puissent pas détecter quelles données sont infectées. De nouvelles variantes de ransomwares, connues sous les noms de CrypoDefense, CrytoLoker et CryptoWall, se propagent par le biais d'e-mails de spam, de téléchargements de type "drive-by" ou de logiciels malveillants déjà présents sur les ordinateurs. L'infection n'est pas immédiatement apparente pour l'utilisateur. Le malware fonctionne silencieusement en arrière-plan jusqu'à ce que le système ou le mécanisme de verrouillage des données soit déployé. Une boîte de dialogue apparaît alors, indiquant à l'utilisateur que ses données ont été verrouillées et exigeant une rançon pour les déverrouiller. Il est alors trop tard pour sauver les données par le biais d'une quelconque mesure de sécurité.

Les recherches identifient deux types de ransomwares : les ransomwares de cryptage et les ransomwares de verrouillage. Les ransomwares de cryptage exigent le paiement d'une rançon en échange de la clé unique nécessaire pour débloquer le contenu crypté. Le ransomware de verrouillage ne crypte pas les données de la victime mais lui interdit l'accès à celles-ci jusqu'à ce qu'elle paie la rançon exigée par l'attaquant.

Ainsi, pour rétablir l'accès aux données, l'attaquant demande une rançon à la victime. La victime reçoit des instructions sur la manière de payer la somme exigée pour obtenir la clé de décryptage. Certains groupes cybercriminels cherchent à faire pression sur leurs victimes en divulguant des données internes préalablement exfiltrées du système d'information infecté. Les rançons peuvent aller de quelques centaines d'euros à des dizaines de millions d'euros, payables en cryptomonnaie.

Des cibles récentes de ransomware comme la Colonial Pipeline et l'entreprise de distribution de produits chimiques Brenntag ont payé l'équivalent de 4,4 millions de dollars aux groupes qui les ont piratés en mai 2021 avant de pouvoir retrouver l'accès à leurs systèmes et relancer leurs opérations.

Il est possible de classer les attaques de ransomware en trois types : premièrement, les campagnes d'attaque non ciblées (bien connues dans les logiciels libres comme Fire and Forget ou Spray and Pray) qui sont populaires en partie parce qu'elles sont relativement faciles à exécuter et que, pour mettre fin à la violation, les victimes paient souvent, deuxièmement, les campagnes de masse automatisées et troisièmement, les attaques ciblées appelées "Big Game Hunting".

Les auteurs de ransomwares testent en permanence de nouvelles méthodes d'extorsion et cherchent des occasions d'infecter davantage d'ordinateurs. Les tactiques, techniques et procédures (TTP) sont de plus en plus avancées et les acteurs de la menace peuvent rapidement modifier leurs efforts, notamment après tout incident très médiatisé. Ils ciblent les systèmes Linux, les technologies opérationnelles (OT), les appareils IoT et les environnements cloud.

D'autres, disponibles sur les marchés cybercriminels par le biais d'un système d'affiliation connu sous le nom de "Ransomware-As-A-Service" (notamment Dharma, GandCrab, ou Maze Sodinokibi), sont utilisés aussi bien de manière ciblée que dans le cadre de campagnes massives, en fonction de la volonté et des capacités des groupes de cybercriminels abonnés au service. Ransomware as a service (RaaS) est un modèle d'abonnement qui permet donc aux affiliés d'utiliser des outils de ransomware déjà développés pour exécuter des attaques de ransomware. Pour recruter des affiliés possédant des compétences techniques spécifiques, certains groupes de ransomware, comme AvosLocker ou Circus Spider RaaS publient leurs offres auprès des affiliés directement sur les forums du dark web. Ensuite, les affiliés gagnent un pourcentage de chaque paiement de rançon réussi.

Comment se défendre contre les attaques de ransomware?

La communauté de la cybersécurité est confrontée à une crise causée par la menace croissante d'attaques par ransomware très médiatisées. Les menaces liées aux technologies opérationnelles (OT) peuvent avoir des effets concrets dans la vie réelle : arrêt d'une usine de production, dysfonctionnement de machines, déversement de produits chimiques, voire accidents de trains ou de véhicules de tourisme. Alors, comment arrêter de tels ransomwares ? Comment assurer la sécurité de vos données ?

Bonne nouvelle ! Il existe quelques contre-mesures importantes pour préserver votre système d'information, éviter qu'une attaque de ransomware n'affecte votre organisation ou pour le moins limiter les pertes liées à une telle attaque.

Les conseils de cybersécurité suivants peuvent vous aider à éviter d'être victime d'un ransomware.

Conservez des copies hors ligne de vos informations essentielles

L'un des moyens les plus efficaces d'empêcher les ransomwares de faire des ravages et de bloquer vos données sensibles est de conserver en toute sécurité des copies hors ligne de vos informations vitales. Ainsi, même si des cybercriminels accèdent à vos ordinateurs et les infectent avec des logiciels malveillants, vous pouvez effacer le système et restaurer votre dernière sauvegarde.

En restant concentré sur les méthodes de récupération, vous vous assurez que votre organisation peut passer le cap d'une attaque par ransomware aussi rapidement que possible sans être sous l'emprise totale de vos attaquants ou compromettre des informations critiques.

Le fait de s'assurer non seulement de la présence de sauvegardes, mais aussi de leur efficacité par des tests en conditions réelles, fait une différence essentielle dans la sécurité de l'information de votre organisation. Aussi, stockez vos sauvegardes hors ligne. Assurez-vous que vos sauvegardes ne sont pas connectées au réseau de l'entreprise afin que les attaquants n'aient pas la possibilité d'infecter également vos sauvegardes via le réseau.

Envisagez les technologies cloud (souveraine de préférence) si vous ne l'avez pas encore fait. L'avantage par rapport aux systèmes sur site est que les vulnérabilités des architectures basées sur le cloud sont plus difficiles à exploiter. En outre, les solutions de stockage dans le cloud vous permettent de restaurer d'anciennes versions de vos fichiers. Cela signifie que si les fichiers sont chiffrés par un ransomware, vous devriez être en mesure de revenir à une version non chiffrée en utilisant le stockage dans le cloud.

Suivez les meilleures pratiques en matière de cybersécurité

Pour prévenir les vulnérabilités qui pourraient exposer votre organisation à une attaque de ransomware, suivez les meilleures pratiques telles qu'une formation approfondie de vos équipes sur l'utilisation appropriée du courrier électronique pour se prémunir contre les tactiques d'hameçonnage, le renforcement des mots de passe, la rotation régulière des mots de passe, la désactivation des privilèges d'administrateur pour les utilisateurs des postes de travail et l'obtention d'une authentification à deux facteurs (2FA) sur chaque point d'accès au réseau. Faites appliquer ces politiques de manière programmatique et concentrez-vous sur la préparation, la prévention et la défense avant le chiffrement.

Par ailleurs, l'application du principe de défense en profondeur aux différents éléments du système d'information permettra de réduire le risque d'indisponibilité totale. Ce principe implique notamment des mesures de confiance zéro, la segmentation du réseau en zones de sensibilité et d'exposition des différents éléments du système d'information, en limitant les privilèges accordés aux utilisateurs ou en contrôlant l'accès à Internet. Les outils et protocoles tels que RDP (Remote Desktop Protocol) sont une voie très courante pour les attaques de ransomware. Désactivez-les sauf lorsqu'ils sont absolument nécessaires.

Vérifiez la structure de gestion des correctifs de votre organisation avec les mises à jour de sécurité et de détection. Bien sûr, l'application de correctifs est plus facile à dire qu'à faire. Votre équipe informatique doit d'abord tester les correctifs pour vérifier qu'ils n'entrent pas en conflit avec les applications et les configurations existantes. Les tests peuvent entrer en conflit avec le temps de développement des applications. Cependant, vous devez trouver un équilibre entre ces considérations et les risques de retarder les correctifs.

Testez le plan de réponse aux incidents de votre organisation

La planification d'une simulation d'attaque par ransomware peut faire toute la différence dans la façon dont votre organisation réagira le moment venu. Dressez une liste de contrôle pour l'évaluation des risques de sécurité et définissez un plan de réponse aux incidents pour assurer la continuité des activités et le retour à un état nominal.

Testez régulièrement votre plan de réponse aux incidents afin de développer les bons réflexes au sein de votre organisation. Si cela n'est pas possible avec vos moyens existants, engagez ou externalisez des équipes spécialisées efficaces pour vous assurer d'une réponse rapide en cas d'incident majeur.

Tenez vous au courant des tendances en matière de cybersécurité

Anticipez la menace plutôt que d'y réagir. À mesure que le paysage des ransomwares évolue, la meilleure stratégie pour rester au courant de la stratégie de réponse de votre organisation est de rester connecté à la communauté.

Utilisez le renseignement sur les cybermenaces (CTI) pour mieux comprendre les motivations et les tactiques des acteurs de la menace et hiérarchiser les ressources de sécurité. Les services de renseignement sur les cybermenaces fournissent des informations sur les acteurs menaçants qui ciblent les technologies de l'information et de la communication.

Chaque industrie a sa part de risques. L'augmentation d'une année sur l'autre du nombre d'industries ciblées met en évidence les risques encourus par tous les secteurs industriels et la nécessité de réaliser des progrès significatifs pour améliorer la maturité des programmes de cybersécurité dans tous les domaines.

Une veille permanente vous permet de rester informé lorsque des vulnérabilités logicielles et matérielles sont découvertes dans les services utilisés dans votre entité et lorsque des correctifs sont disponibles. Le site du CERT-FR (www.cert.ssi.gouv.fr) peut vous aider dans cette démarche.

Les vulnérabilités et le ciblage des périphériques étant en augmentation, il est essentiel que les entreprises commencent à changer leur culture de la sécurité en passant d'une approche réactive à une approche proactive de la sécurité "en périphérie".

Infecté... Que faire ensuite ? Comment réagir ?

Appliquez immédiatement un garrot

Mauvaise nouvelle ! Vous êtes infecté ! La première réaction est d'empêcher la propagation du ransomware aux autres équipements informatiques de l'entité, il est important d'isoler l'équipement infecté du SI en le déconnectant immédiatement du réseau et de conserver la sauvegarde de vos données dans des endroits sûrs et hors ligne dès que possible après vous être assuré qu'elle ne soit pas infectée. Dans les cas très graves, réfléchissez à la nécessité d'éteindre votre Wi-Fi, de désactiver toute connexion au réseau central (y compris les commutateurs) et de vous déconnecter d'Internet. Réinitialisez les informations d'identification, notamment les mots de passe (en particulier pour les comptes d'administrateur et autres comptes système), mais vérifiez que vous ne vous interdisez pas l'accès aux systèmes nécessaires à la récupération. Les attaquants ne seront alors plus en mesure de contrôler leur ransomware ou de déclencher une nouvelle vague de chiffrement. Cela permettra également d'éviter une éventuelle exfiltration de données.

Mettez en place votre cellule de crise cyber

Cette cellule sera chargée de répondre aux enjeux de la crise en établissant éventuellement, des stratégies de communication interne et externe et les éléments à fournir pour une action en justice ou une notification réglementaire, notamment auprès de la CNIL en cas de violation de données personnelles. Avec l'appui du délégué à la protection des données (DPD/DPO), cette unité devra identifier le niveau de risque généré pour les personnes dont les données sont concernées par la violation et les avertir en conséquence (employés, clients, membres, etc.). Plus généralement, cette unité sera également chargée d'identifier l'impact de ces dysfonctionnements sur les activités de votre organisation et d'organiser la réponse dans ces domaines.

Si vous ne disposez ni des ressources ni de l'expertise nécessaires pour faire face à un incident de sécurité, vous pouvez faire appel à des prestataires de services spécialisés dans la réponse aux incidents de sécurité.

Signalez l'incident

Il est fortement recommandé de déposer une plainte auprès de la police ou d'une autre autorité compétente en cas d'attaque par ransomware.

Ensuite, ouvrez un journal de logs pour retracer les actions et les événements liés à l'incident. Ce document doit permettre d'informer les décideurs sur l'avancement des actions entreprises.

Conservez tout élément de preuve, en coordination avec les autorités compétentes qui enquêtent sur l'attaque : créez une image d'investigation des systèmes affectés (ou un instantané du système), créez un vidage de la mémoire vive des systèmes affectés, et conservez tout flux ou autres journaux de trafic réseau.

Ne payez pas la rançon car il n'y a aucune garantie que les créateurs du ransomware vous donnent accès à vos données.

Restaurez les systèmes à partir de sources saines

Dans le cas d'un équipement infecté, effacez en toute sécurité les appareils infectés, réinstallez le système d'exploitation et restaurez les données à partir de sauvegardes effectuées, de préférence, avant la date à laquelle le système a été compromis. Cela permet de vérifier que les données restaurées ne sont pas infectées par le ransomware.

Malheureusement, dans de nombreux cas, une fois que le ransomware s'est introduit dans votre appareil, il n'y a pas grand-chose à faire à moins d'avoir une sauvegarde, mais tout espoir n'est pas perdu ! Il est parfois possible d'aider les victimes infectées à retrouver l'accès à leurs fichiers cryptés ou à leurs systèmes verrouillés, sans avoir à payer.

Pas de sauvegarde?! Que pouvez-vous faire?

S'il n'y a pas de sauvegardes, vous devez essayer de décrypter les données verrouillées par le ransomware avec les meilleurs outils de décryptage de ransomware disponibles.

Comment identifier le ransomware qui vous a infecté?

La notification de rançon donne souvent des détails sur le type de ransomware avec lequel les fichiers ont été cryptés, mais parfois vous n'avez pas cette information à portée de main et de nombreuses extensions marquent de nouveaux types de ransomware cryptés pour lesquels aucun décrypteur n'est disponible.

Si vous avez besoin d'aide pour identifier le type de ransomware qui infecte votre système, vous pouvez utiliser ces deux outils : Crypto Sheriff de No More ransomware ou ID Ransomware de the Malwarehunter Team.

Ils sont conçus pour vous aider à définir le type de ransomware qui affecte votre appareil. Vous pourrez ainsi vérifier si une solution de décryptage est disponible, car les logiciels malveillants et les ransomwares évoluent constamment.

Ainsi par exemple, le site “No More Ransom” aide les victimes de ransomware à récupérer leurs données cryptées sans avoir à payer les criminels. Cette initiative est ouverte à d'autres parties publiques et privées. Ils ont créé un référentiel de clés et d'applications qui peuvent décrypter les données verrouillées par différents types de ransomwares. Ils ont des décrypteurs pour Alcatraz Decryptor, 777 Ransom, Amnesia Decryptor 2, BigBobRoss, Pylocky, Thanatoset bien d'autres encore.

Certains outils de décryptage de ransomware sont faciles à utiliser, tandis que d'autres nécessitent un peu plus de connaissances techniques.

Si vous ne trouvez pas le bon outil de décryptage, il est donc important de conserver les données cryptées car une solution de cryptage peut être découverte et rendue publique ultérieurement.

Comme pour les autres formes de logiciels malveillants, la prudence et la sensibilisation à la cybersécurité sont un pas dans la bonne direction pour faire face à cette menace. La création de sauvegardes est particulièrement importante pour ce type de logiciels malveillants, car elle vous permet d'être bien préparé, même dans le pire des cas. Nous espérons que les conseils précédents vous seront utiles pour vous aider à atteindre vos objectifs en matière de sécurité de l'information et de protection des données.

 

Besoin d'aide pour libérer votre potentiel numérique et protéger vos actifs les plus sensibles?

Jean-François SCHOONHEERE
CEO & co-founder Stroople