La lutte contre Locky et Samas a certainement été un casse-tête majeur pour les services informatiques. Ces deux variantes de ransomware ont été dotées de fonctions intelligentes conçues pour prévenir leur détection, pour faire croître les infections et pour infliger le plus de dommages possible, ne laissant souvent aux entreprises que le choix de payer la rançon.
Cependant, une nouvelle menace de ransomware est apparue, et elle pourrait bien être encore plus menaçante que Locky et Samas : Spora. Heureusement, ses auteurs semblent ne cibler que les utilisateurs russes, mais il est fort possible qu’ils changent de cibles. Une version russe du ransomware a été utilisée jusqu’à présent pour mener des attaques cybercriminelles, mais une version anglaise vient d’être créée. Les attaques de ransomware Spora seront bientôt un problème mondial.
Les pirates informatiques ont passé une grande partie de leur temps et ont concentré leurs efforts à la production de Spora et il est peu probable qu’une clé de déchiffrement soit créée en raison de la façon dont ce ransomware chiffre les données.
Contrairement à de nombreuses nouvelles attaques de ransomware qui dépendent d’un serveur de commande et de contrôle pour recevoir les instructions, Spora peut chiffrer les fichiers même si l’utilisateur est hors ligne. La fermeture de l’accès à Internet n’arrêtera pas l’infection. Il n’est pas non plus possible de restreindre l’accès au serveur C&C pour se protéger de cette attaque.
D’autres variantes de ransomwares ont été créées pour chiffrer les fichiers sans communication C&C, mais une seule clé permettait de les déchiffrer. Par contre, pour déchiffrer les fichiers infectés par Spora, les victimes doivent utilisent une clé de déchiffrement unique. Une clé publique RSA codée en dur est utilisée pour créer une clé AES unique pour chaque utilisateur. La clé AES est ensuite utilisée pour chiffrer la clé privée d’une paire de clés RSA publique/privé établie avec chaque victime, sans communication C&C. Par ailleurs, la clé RSA chiffre les clés AES séparées pour chaque utilisateur. Sans cette clé, qui est fournie par les pirates, la victime ne pourra pas déverrouiller les fichiers.
Ce processus de chiffrement complexe rend Spora unique, et ce n’est pas tout ! Contrairement à de nombreuses autres variantes de ransomwares, les pirates ne fixent pas le montant de la rançon. Cela donne aux pirates un certain degré de flexibilité et, ce qui est encore plus inquiétant, c’est que ce processus se produit automatiquement.
De par cette flexibilité, chaque entreprise victime de l’attaque peut se voir facturer un montant différent. L’ensemble de la rançon est calculé en fonction de l’étendue de l’infection et des types de fichiers chiffrés. Puisque Spora recueille des données sur l’utilisateur, lorsque le contact est établi pour payer la rançon, les montants peuvent facilement être modifiés.
Lorsque les victimes visitent le portail du pirate pour payer la rançon, elles doivent fournir le fichier clé infecté par le ransomware. Les fichiers clés contiennent une série de données sur l’utilisateur, y compris les détails de la campagne utilisée. Les hackers peuvent donc surveiller de près les infections et les campagnes. Ils peuvent ensuite réutiliser les campagnes qui réussissent et qui donnent lieu à un plus grand nombre de paiements pour atteindre d’autres cibles. Celles qui sont moins efficaces sont mises à l’oubli.
À l’heure actuelle, il existe un certain nombre d’options de paiement. Les victimes peuvent choisir de payer la rançon pour déverrouiller le chiffrement, ou de payer un montant supplémentaire pour éviter de futures attaques, en bénéficiant essentiellement d’une sorte d’immunité contre le ransomware.
Les experts d’Emisoft qui ont analysé Spora affirment qu’il est loin d’être une variante qui a été mise au point à la va-vite. Le groupe qui l’a conçu est très bien informé et le processus de chiffrement ne contient aucune faille, ce qui est rare pour une nouvelle variante de ransomware. La conception de la demande de rançon est écrite dans un format HTML. Le portail de paiement est très sophistiqué et contient une option de chat pour permettre la communication avec les hackers. La grande complexité de cette attaque est le fruit de beaucoup d’investissements et d’un travail acharné. De plus, il est peu probable que cette menace disparaisse rapidement. En fait, elle pourrait s’avérer l’une des menaces les plus graves à l’avenir.
L’infection se produit actuellement par le biais de spams contenant des pièces jointes ou des liens malveillants. Actuellement, les pièces jointes ressemblent à des factures PDF, bien qu’il s’agisse de fichiers HTA incluant du code JavaScript. La meilleure défense, c’est donc d’empêcher ces e-mails d’arriver dans les boites de réception des utilisateurs finaux. Une sauvegarde de vos données sera également nécessaire pour vous permettre de récupérer vos informations sensibles, plutôt que de payer la rançon.
Le coût d’une attaque de ransomware peut être considérable.
Aux États-Unis, à la suite de plusieurs attaques, des centaines de milliers de dollars ont été versés afin d’obtenir des clés qui permettaient de déverrouiller des fichiers chiffrés par les cybercriminels. Bien que le montant de la rançon soit élevé, cela ne représente qu’une fraction du coût total des dégâts causés par une attaque de ransomware.
En cas d’attaque de ransomware, le fait de ne pas payer une rançon peut causer d’énormes pertes pour les entreprises. Lors d’une attaque menée contre la ville de Baltimore, les pirates demandaient une rançon d’environ 69 000 euros. Baltimore a refusé de payer. Au total, on estime que cet incident a coûté au moins 16 millions d’euros à la ville.
Le coût de cet incident est élevé, mais ce n’est pas aussi important que celui subi par le fabricant danois d’appareils auditifs Demant après une attaque qui se serait produite le 3 septembre 2019, ou autour de cette date. Un mois plus tard, l’entreprise ne s’est pas encore remise d’une telle cybercriminalité. Dans un récent message adressé à ses investisseurs, Demant a déclaré que la cyberattaque aurait coûté entre 72 et 86 millions d’euros, même si la société détenait une police d’assurance cybernétique. Sans cette politique, les coûts auraient augmenté de plus de 13 millions d’euros.
Selon un avis publié sur son site Internet, l’entreprise a affirmé avoir connu « un incident critique » lorsque son « infrastructure informatique a été touchée par la cybercriminalité ». Cependant, elle n’a pas mentionné le nom du ransomware qui était à l’origine de l’incident.
Selon Demant, l’attaque a touché ses installations de production et de distribution en Pologne, ses sites de production d’implants cochléaires en France, ses sites de production et de service au Mexique, son site de production d’amplificateurs au Danemark, l’ensemble de son réseau Asie-Pacifique et son système ERP (Enterprise Resource Planning).
L’entreprise est en train de récupérer son infrastructure informatique et estime qu’il faudra encore deux semaines pour que les systèmes soient restaurés et que les opérations commerciales reviennent à la normale. Toutefois, les effets de cette attaque pourraient durer longtemps.
En effet, l’entreprise ne pouvait pas accéder à ses systèmes dans tous ces sites et cela a causé des perturbations majeures. Elle n’a pas été en mesure de fournir ses produits, de recevoir et de traiter les commandes, et les cliniques de son réseau ont eu des difficultés à servir les utilisateurs finaux.
En raison du peu d’informations publiées, il est difficile de savoir si la société a accepté ou refusé de payer la rançon. Par ailleurs, on ne peut pas affirmer si les attaquants s’apprêtaient à fournir les clés valides pour déchiffrer les fichiers, ou si c’était une attaque de sabotage pur et simple, semblable aux attaques de malware NotPetya qui se sont produites en 2017.
S’il s’agissait d’une attaque de ransomwares, les pertes dépassent de loin celle menée contre la société norvégienne d’aluminium et d’énergie Norsk Hydro, dont le montant de la rançon frôlait les 63 millions d’euros. Elle reste toutefois moins dévastatrice que les attaques NotPetya, lesquelles ont causé des pertes de plus de 270 millions d’euros aux sociétés de transport Maersk et Fedex, respectivement.
Tous ces incidents démontrent à quel point les cyberattaques peuvent être dommageables et à quel point les coûts de la récupération des fichiers peuvent être importants. Il faut toutefois savoir que le coût de la récupération des systèmes informatiques ne représentait qu’une faible proportion du coût total des dégâts, soit environ 6,6 millions d’euros. La majeure partie des dégâts était due à la perte de ventes et à l’incapacité de traiter les commandes qui, selon la société, représentent environ la moitié des coûts estimés.
Dans un communiqué de presse, la société a déclaré qu’en plus des ventes perdues, « l’incident [les] a empêché d’exécuter [leurs] activités de croissance ambitieuses pendant les mois les plus importants de l’année, en particulier aux États-Unis, qui est notre plus grand marché ».
Les malwares, les ransomwares et les wipers (variantes de malware qui effacent les données stockées dans le disque dur de l’ordinateur infecté) sont le plus souvent livrés via un petit nombre de vecteurs d’attaque. Trop souvent, les attaques commencent par un e-mail de phishing, par des kits d’exploitation RDP (Remote Desktop Protocol), par le téléchargement de malwares par drive-by ou via l’exploitation des vulnérabilités non corrigées. Le coût des mesures préventives pour bloquer ces vecteurs d’attaque est minime, comparé à celui de la récupération des données après l’incident.
TitanHQ ne peut pas aider les entreprises à sécuriser leurs systèmes RDP et à mettre à jour rapidement les correctifs nécessaires. Par contre, nous pouvons les aider à sécuriser vos systèmes de messagerie et à vous protéger contre les téléchargements de malwares par drive-by et bien d’autres menaces sur le web.
Pour en savoir plus sur la façon dont vous pouvez améliorer la sécurité contre les attaques par e-mail et par Internet à partir de 0,82 euro par utilisateur et par mois, appelez notre équipe de vente. Nous nous ferons un plaisir de vous expliquer les tenants et aboutissants de nos solutions de sécurité pour le web et la messagerie électronique. Nous pouvons également vous proposer des démonstrations de nos produits ainsi qu’un essai gratuit de notre solution. Ainsi, vous pourrez découvrir comment SpamTitan pourra améliorer considérablement vos défenses contre les attaques de phishing, les ransomwares, les malwares et les wipers.
En 2018, des attaques de ransomwares contre les entreprises ont diminué, car les cybercriminels ont opté pour d’autres moyens de gagner de l’argent. De nombreuses attaques de ransomwares étaient encore lancées, mais à un rythme légèrement inférieur à celui de 2017.
Certains rapports laissaient entendre que les ransomwares ne constituaient plus une menace aussi importante qu’en 2016 et 2017. Pourtant, le nombre d’attaques signalées en 2019 a démontré que ce n’est certainement pas le cas. Toute entreprise qui n’a pas mis en place des moyens de défense pour se protéger contre les ransomwares pourrait bien être leur prochaine victime et devra payer plusieurs milliers d’euros pour se remettre d’une attaque.
Ne vous y trompez pas. Les ransomwares sont l’une des menaces les plus dangereuses auxquelles les entreprises doivent faire face. Si un ransomware parvient à s’installer sur le réseau, tous les fichiers, y compris les données de sauvegardes, peuvent être chiffrés. Les dégâts pourraient s’avérer catastrophiques, ce qui est par exemple le cas d’un petit cabinet médical du Michigan.
Le cabinet de deux médecins de Battle Creek, au Michigan, a été victime d’une attaque qui a entraîné le chiffrement de toutes les données de leurs patients. Une demande de rançon a été émise par les attaquants, mais comme il n’y avait aucune garantie que les dossiers pourraient être récupérés une fois la rançon versée, la décision a été prise de ne pas payer. Les pirates ont ensuite supprimé tous les fichiers chiffrés. Le cabinet était donc contraint de tout reconstruire à partir de zéro. Les deux médecins ont décidé d’en rester là. Ils ont pris une retraite anticipée.
Les attaques de ransomwares contre les établissements de soins de santé augmentent à un rythme alarmant. Les entités gouvernementales, les villes et les municipalités font également l’objet de telles menaces. En mai dernier, la ville de Baltimore a par exemple subi une attaque majeure qui a impliqué une variante de ransomware appelée RobbinHood. L’attaque a détruit les serveurs et les systèmes, causant des perturbations majeures dans toute la ville. Une rançon de plus de 54 millions d’euros a été versée aux cybercriminels pour retrouver l’accès aux fichiers chiffrés.
Deux petites villes de Floride ont également subi des attaques majeures suite auxquelles Lake City a été forcée de payer de 417 000 euros, tandis que Riviera Beach a dû payer plus de 544 000 euros de rançon. Pour sa part, le comté de Jackson en Géorgie a payé environ 362 000 euros après que son système judiciaire a été attaqué.
Au fur et à mesure que les mois passaient, les attaques se sont multipliées. Un rapport de Malwarebytes indique qu’il y a eu une augmentation de 195 % des attaques de ransomwares au premier trimestre 2019. Les chiffres de Kaspersky Lab montrent également que les attaques de ransomwares ont presque doublé au deuxième trimestre 2019, soit une augmentation de 46 % du nombre d’attaques signalées, comparé à la même période en 2018.
Face à l’augmentation du nombre d’attaques, les entreprises doivent donc être préparées et disposer des outils de sécurité nécessaires pour empêcher les attaques de réussir.
Il n’existe pas de solution de cybersécurité unique qui peut être mise en œuvre pour éliminer toutes les menaces cybercriminelles, car les pirates utilisent diverses méthodes pour accéder aux réseaux et pour diffuser leurs charges utiles malveillantes. Des défenses multicouches peuvent toutefois s’avérer excellentes pour repousser la plupart des attaques.
La messagerie électronique est la principale méthode de livraison des ransomwares. Il suffit qu’un e-mail malveillant arrive dans la boîte de réception d’un employé et que celui-ci soit dupé pour ouvrir une pièce jointe malveillante (ou pour cliquer sur un lien hypertexte) pour que le ransomware s’installe sur son appareil. Une solution avancée de filtrage de la messagerie comme SpamTitan Cloud est donc nécessaire pour bloquer les e-mails malveillants et les empêcher d’arriver dans les boîtes de réception de vos employés.
SpamTitan inclut l’authentification, le reporting et la conformité des messages par domaine (DMARC). Ceci permet de bloquer les attaques d’usurpation d’identité, grâce à l’utilisation d’un sandbox. Il s’agit d’une sorte de boîte à outils où les pièces jointes suspectes peuvent être exécutées en toute sécurité et étudiées pour détecter les menaces qu’elles représentent pour votre entreprise et vos employés. Le sandbox est essentiel, car il permet d’identifier et de bloquer les ransomwares et les menaces du type zero-day.
Toutes les attaques ne se produisent pas par e-mail et elles sont de plus en plus fréquentes. Une solution de filtrage web devrait donc être mise en œuvre pour bloquer par exemple les attaques sur le Web. Un filtre web empêchera vos employés d’accéder à des sites malveillants connus ou de télécharger des ransomwares. Grâce à ces deux mesures techniques, votre entreprise sera bien protégée. Parallèlement, vous devrez former vos employés en matière de sensibilisation à la sécurité et sur les systèmes de sauvegarde des données. Ainsi, vous pourrez mettre en place une solide défense contre les attaques de ransomwares.
Les ransomwares ne sont pas nouveaux. Depuis le milieu des années 2000, ils ont fait des ravages dans les entreprises, des plus grandes aux plus petites. Entre 2005 et 2017, plus de 7 600 demandes de rançon ont été signalées au Centre des plaintes concernant la criminalité sur Internet (IC3). Les attaques de ransomwares ont perturbé pendant des semaines les opérations de certaines de ses victimes et ont coûté des milliards de dollars aux organisations. Le ransomware est régulièrement considéré comme la menace n° 1 en matière de cybersécurité. Il y a tout juste un an, il semblait que la férocité du ransomware n’avait aucune limite.
Cependant, l’omniprésence croissante des ransomwares a stagné, sinon reculé en 2018. Selon Kaspersky, les ransomwares ne sont plus la menace numéro 1. Ils ont cédé la place aux malwares de cryptomining. Les chevaux de Troie bancaires ont aussi récemment éclipsé les ransomwares. Il n’est pas surprenant que ces derniers ne fassent plus les manchettes qu’ils faisaient il y a à peine douze mois. Les attaques de ransomwares sont peut-être en baisse, mais vous ne devez en aucun cas les sous-estimer.
Un ransomware a pris d’assaut un aéroport du Royaume-Uni
Le 14 septembre 2018, un ransomware a frappé l’aéroport de Bristol, forçant ses employés à afficher les horaires d’arrivée et de départ des vols sur des affiches et des tableaux blancs. En effet, l’attaque a affecté les communications internes de l’aéroport. Des alertes d’horaires ont été régulièrement annoncées sur le système de sonorisation pendant deux jours, au cours desquels le personnel informatique de l’aéroport s’est efforcé de mettre fin au malware. Heureusement, l’attaque s’est limitée aux fonctions opérationnelles de l’aéroport. Elle n’a eu aucun impact sur les opérations aériennes, de sorte que les passagers n’ont jamais été en danger.
Plus tôt cette semaine, 380 000 passagers ont été touchés par un piratage de British Airways. On pense que les pirates ont réussi à contourner les défenses de British Airways à cause d’un code trouvé sur le site web de la compagnie. Bien qu’il ne s’agisse pas d’une attaque de ransomware, il semble que les compagnies aériennes et les aéroports soient des cibles faciles pour les cybercriminels.
Une série d’attaques de ransomwares pendant la période d’été
Voici quelques-unes des nombreuses attaques qui ont eu lieu pendant cette période.
Le géant mondial du transport maritime, Cosco Shipping Lines, a été contraint de cesser les activités dans plusieurs de ses ports en Amérique du Nord, en Amérique centrale et en Amérique du Sud. Cela fait suite à une attaque de ransomware qui a mis fin à ses opérations de messagerie électronique et de téléphonie réseau dans ces régions. Après l’attaque, l’entreprise a averti ses employés de ne pas ouvrir des e-mails suspects (c’était le point d’entrée de la récente attaque). On estime que 93 % des e-mails de phishing sont maintenant à l’origine des attaques des ransomwares. Ce n’est pas la première fois qu’une compagnie maritime mondiale est victime de piratage informatique, puisque l’an dernier, la compagnie danoise A.P. Moller-Maersk a été également victime de la souche de malware NotPetya.
Wendell Furniture, à Colchester, a perdu l’accès à son système de commande pendant plusieurs semaines après que ses serveurs aient été infectés par un malware. Les pirates ont réussi à voler l’information sur les ventes des huit dernières années, y compris les noms, adresses, numéros de téléphone et adresses électroniques de ses clients. Wendell a fini par payer des milliers de dollars aux pirates pour récupérer les données.
Un détaillant de matelas de Winnipeg, au Canada, a été frappé par une demande de rançon qui a fait tomber ses serveurs, ce qui a complètement mis fin à ses activités. Best Sleep Centre a négocié la rançon initiale pour 6 000 $ à 2 000 $. Selon le propriétaire, l’attaque était causée par le manque de diligence dans la mise en œuvre des mises à jour régulières. Il a également déclaré que la société a tiré une leçon coûteuse de cet incident.
L’importance des sauvegardes
La seule certitude concernant le ransomware est que le maintien d’une solution de sauvegarde fonctionnelle bien conçue servira de mesure efficace contre ses effets durables, peu importe comment il peut évoluer un jour.
Pour protéger vos données et pour pouvoir les récupérer suite à une attaque de ransomware, vous devez disposer d’un système de sauvegarde fiable et sûre. La règle 3-2-1 est la meilleure pratique pour la sauvegarde et la restauration. Découvrez comment fonctionne l’approche de sauvegarde 3-2-1.
Le visage changeant des ransomwares
Les inquiétudes concernant les ransomwares ont atteint des sommets l’été dernier lors des attaques WannaCry et Locky, lesquelles ont détruit de nombreuses entreprises dans le monde entier. Bien que les dommages qu’elles ont causés aient été sans précédent, le montant des rançons versées était toutefois faible. En conséquence, les attaques à grande échelle ont considérablement diminué au cours des douze derniers mois.
Cela ne signifie pas que le ransomware ne constitue plus une menace. Pour ajuster leur tir, les pirates ont maintenant changé de stratégie, passant à des attaques plus ciblées. Les rançons ont également été réduites à des montants plus réalistes, ce qui a augmenté les taux de paiement de ce genre d’attaque. Comme les attaques sont très ciblées, elles font de moins en moins partie des gros titres des actualités. Pourtant, la liste des victimes continue de s’allonger.
Fin 2016, lorsque le FBI a annoncé que les ransomwares représentaient une industrie qui pèse des milliards de dollars, cela a fait tourner beaucoup de têtes, y compris celles de programmeurs expérimentés et malintentionnés. Ces derniers ont commencé à créer des codes malveillants plus complexes qu’ils pouvaient ensuite vendre sur le dark web à des pirates qui ne possédaient pas les compétences en matière codage pour réaliser leurs projets malveillants.
Le terme « Ransomware as a Service » (RaaS) a rapidement été inventé pour décrire ce qui est maintenant devenu une entreprise clé en main pour ceux qui sont prêts à payer quelques centaines de dollars à l’avance et à partager les rançons qu’ils obtiennent. C’est l’une des principales raisons pour lesquelles le nombre de familles de ransomwares a diminué. Par contre, le nombre de variantes a augmenté.
Les attaques de ransomwares ne sont pas toujours motivées financièrement
Les attaques de ransomwares ne sont pas toujours motivées financièrement. Les pirates informatiques commencent à utiliser des charges utiles de chiffrement de malwares pour couvrir leurs traces. Par exemple, ils déploient une charge utile de ransomware avant de déposer un rootkit ou une autre charge utile malveillante. Le dépôt de ransomware reste inactif jusqu’à ce que la charge utile de l’attaque primaire ne soit découverte. Ceci permet aux pirates de lancer une attaque de ransomware pour effacer le système et protéger les signatures de code. Cette attaque peut également être utilisée pour effacer les preuves d’une opération réussie, détruisant ainsi toutes les traces.
Bien qu’il y ait actuellement peu de pirates informatiques professionnels qui mettent en œuvre des attaques de ransomwares, celles qui sont parrainées par l’État-nation sont en hausse, selon Europol. Pas plus tard que la semaine dernière, le département de la Justice des États-Unis a accusé un programmeur informatique travaillant pour le compte du gouvernement nord-coréen d’un certain nombre d’attaques, dont l’attaque de WannaCry qui a été lancée l’an dernier.
Les attaques de ransomware se sont accentuées et deviennent la menace de sécurité réseau la plus reconnue dans le monde, et les fournisseurs de technologie ne cessent de publier un arsenal d’outils pour vous aider à les combattre. Un peu plus tôt cette année, Microsoft a pris l’initiative sans précédent de lancer la mise à jour (MS17-010) pour le système d’exploitation Windows XP. Bien que XP ne soit plus pris en charge, cette mise à jour a été publiée afin de remédier à une vulnérabilité qui pourrait permettre l’exécution de code à distance si un attaquant envoie des messages spécialement conçus à un serveur Microsoft Server Message Block 1.0 (SMBv1). Cette vulnérabilité connue est devenue plus tard le moyen utilisé par les pirates informatiques pour lancer les épidémies de WannaCry et Petya qui ont infecté des milliers d’appareils au cours des deux derniers mois.
Pas plus tard que la semaine dernière, Microsoft a annoncé la sortie d’une nouvelle fonctionnalité anti-ransomware pour son récent système d’exploitation Windows 10 Insider Preview Build (16232). La marque prévoit actuellement d’introduire cet outil, ainsi que d’autres fonctions de sécurité dans la prochaine mise à jour de Windows 10 Creator Update, dont la sortie est prévue à l’automne de cette année. Cet outil de lutte contre les malwares, appelé « Controlled Folder Access », est conçu pour empêcher les applications non autorisées de créer de nouveaux fichiers ou de modifier des fichiers existants qui sont stockés dans des dossiers jugés comme importants et « protégés ». Pour ce faire, la marque crée une liste blanche d’applications. Si l’application n’est pas dans la liste, Windows Defender bloque son exécution.
Cette fonctionnalité est similaire à celle d’AppLocker de Microsoft, laquelle est disponible depuis un certain nombre d’années pour certaines versions du système d’exploitation Windows, comme les éditions Enterprise et Education. Les listes blanches d’AppLocker peuvent être déployées par le biais d’une stratégie de groupe sur les périphériques dont les systèmes d’exploitation sont pris en charge. Ceux qui sont abonnés à Microsoft Intune peuvent importer des stratégies AppLocker dans l’interface de gestion Intune via un fichier XML. Avec l’accès contrôlé aux dossiers, la liste blanche des applications sera disponible pour tous les ordinateurs Windows 10 via le Centre de sécurité Windows Defender.
Pour accéder actuellement à cette fonction :
Allez dans le menu Démarrer et ouvrez le Centre de sécurité de Windows Defender,
Allez à la section Paramètres de protection contre les virus et les menaces,
Régler l’interrupteur sur On.
Ici, l’utilisateur peut également ajouter d’autres dossiers en plus des dossiers qui sont sélectionnés par défaut. Les dossiers par défaut sont ceux qui sont généralement ciblés par les ransomwares. L’an dernier, nous avons écrit un blog sur la façon dont il est possible de protéger ces dossiers contre la création de fichiers non autorisés en créant des politiques de restriction logicielle soit localement, soit par le biais d’une politique de groupe ou via un logiciel de gestion de système édité par Microsoft (SCCM).
Arrêter les ransomwares bien avant qu’ils arrivent au niveau du nœud final
Il existe un nombre croissant d’outils disponibles pour combattre les ransomwares au niveau du nœud final. Mais, en réalité, il est vital de les arrêter avant qu’ils n’atteignent le périphérique. Aussi répandus que soient aujourd’hui les ransomwares, il existe des mesures concrètes que vous pouvez prendre pour prévenir efficacement une attaque.
La protection des e-mails est primordiale, car la messagerie électronique continue d’être le principal mécanisme de lancement de ransomwares. Les distributeurs de ransomwares utilisent des liens et des pièces jointes intégrés pour inciter les utilisateurs peu méfiants à cliquer dessus et à lancer des déploiements de malwares. Les solutions de sécurité pour systèmes de messagerie d’aujourd’hui doivent faire plus, plutôt que de bloquer simplement les spams. Une solution de sécurité de messagerie doit également bloquer et éradiquer les virus, les malwares, les pièces jointes infectées et les liens vers des sites web malveillants. Outre le fait d’empêcher les attaques de ransomwares, une solution de sécurité de messagerie protégera vos utilisateurs contre les attaques de phishing et les attaques BEC (Business E-mail Compromise).
Filtrage web — Les utilisateurs peuvent télécharger par inadvertance un ransomware en visitant un site de lancement de malwares ou en naviguant simplement sur un site web piégé par des cybercriminels. De nombreux sites sont infectés par des fichiers d’installation de ransomwares qui y ont été déposés par des pirates. Une solution de filtrage web moderne protège les sessions Internet de vos utilisateurs de deux façons. Elle bloque d’abord l’accès aux sites malveillants ou infectés par des malwares connus. Ensuite, elle filtre tout le trafic web par le biais d’un antivirus passerelle.
Correctifs et mises à jour — Il est impératif de maintenir vos systèmes d’exploitation, vos applications et vos navigateurs web patchés et à jour. Si les entreprises avaient simplement installé la mise à jour (MS17-010) sur ses périphériques Windows non pris en charge, elles auraient pu échapper aux dommages causés par WannaCry à de nombreux réseaux dotés de périphériques Windows. Il y a une raison pour laquelle les fournisseurs publient régulièrement des correctifs et des mises à jour pour leurs clients. De nouvelles menaces du type « zero-day » sont continuellement découvertes, forçant les développeurs à publier des correctifs pour les combattre le plus rapidement possible. Le patch et la mise à jour sont probablement les tâches de routine les plus importantes pour toute équipe informatique.
Règle de sauvegarde 3-2-1 — La sauvegarde de vos données est une fonction critique dans la protection de vos données. Il est important de suivre les meilleures pratiques lors de l’exécution de sauvegardes régulières de vos données afin de vous assurer que vos sauvegardes peuvent être restaurées correctement si ce jour fatidique se réalise. La règle 3-2-1 se transcrit de la manière suivante :
Conservez 3 copies de vos données
Utilisez 2 types de médias pour les stocker
Gardez toujours 1 copie hors site
En suivant ce modèle éprouvé, vous pourrez restaurer rapidement les données corrompues ou perdues en cas de défaillance des disques durs, de reprise après sinistre et, bien entendu, d’attaque de malware.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sensibles sont protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.
Les attaques de ransomwares sont de plus en plus fréquentes, mais vous pouvez vous protéger !
Les ransomwares sont une variante moderne de malwares, qui combinent des tactiques sophistiquées et basiques. Les cybercriminels ne demandent généralement pas de montants exorbitants, étant donné que la rançon se situe généralement entre 300 $ et 1 000 $.
Cependant, sachez que le Hollywood Presbyterian Medical Center a dû payer 17 000 $ à cause d’une attaque impliquant l’accès à ses propres données. À cela s’ajoutaient la perte de revenus et la perte de réputation de l’entreprise suite à l’attaque, le temps que le centre puisse se redresser.
Il n’existe aucun paquet ou ensemble de pratiques uniques qui immunisera un réseau contre une attaque de ransomwares. De plus, les auteurs de malwares modifient continuellement leur « produit ». Par exemple, une infection commence habituellement par des e-mails de phishing. Cela se produit lorsqu’un utilisateur clique sur un lien JavaScript dans un e-mail ou télécharge un document joint contenant des macros qui lancent le ransomware.
À l’origine, les ransomwares utilisaient exclusivement des documents Microsoft Office avec des scripts VBA malveillants. Maintenant, n’importe quelle application et tout document qui exécute le code JavaScript peuvent lancer l’attaque. Cependant, il existe de nombreuses mesures qu’une organisation peut prendre pour atténuer les dépenses liées aux rançons, voire prévenir une attaque de ransomwares.
Mesures générales de sécurité pour se protéger contre les ransomwares
Les petites organisations peuvent éventuellement utiliser des listes blanches pour restreindre l’accès à un nombre limité de sites web et d’applications.
C’est une excellente solution, mais elle est peu pratique pour la plupart des grandes entreprises.
Restriction des privilèges pour se protéger des ransomwares
L’une des mesures souvent négligées consiste à limiter les privilèges de l’utilisateur. Cela devrait être fait sur une base régulière, que ce soit pour se protéger des ransomwares ou non. La fréquence requise dépend du taux de roulement et de mutation au sein de l’organisation.
Les privilèges d’utilisateur « Runaway » peuvent provoquer la propagation de n’importe quel malware comme une traînée de poudre sur le réseau, ce qui le rend difficile à éliminer.
Certes, un audit complet des privilèges des utilisateurs représente une tâche ardue. Mais pour commencer, vous pouvez attribuer des privilèges aux utilisateurs pour les tâches administratives telles que la sauvegarde, les serveurs et le support réseau. Pour réduire au minimum l’utilisation des comptes administratifs, n’autorisez pas ces comptes à recevoir des e-mails et assignez à des employés ayant des rôles administratifs leurs propres comptes restreints habituels pour une utilisation quotidienne.
Configuration du pare-feu contre les ransomwares
Utiliser un pare-feu moderne est essentiel pour protéger votre réseau. Comme les menaces évoluent en permanence, vous devriez donc utiliser un service de mise à jour qui bloque automatiquement les dernières menaces connues.
De nombreux sites web non classés par catégorie sont utilisés dans le cadre de campagnes de phishing ciblées qui distribuent des malwares. Ainsi, il importe de configurer votre pare-feu/proxy, de manière à ce qu’il nécessite l’interaction des utilisateurs finaux — par exemple en intégrant un bouton « continuer » —, qui communiquent avec des sites web non catégorisés.
Comment se protéger contre les attaques de ransomwares ?
Maintenez vos logiciels à jour. Cela n’empêchera pas les kits d’exploitation « zéro-day » d’attaquer votre organisation, mais corrigera les vulnérabilités logicielles les plus récentes.
Déployez un « endpoint » qui empêche les appareils contenant des malwares, des logiciels manquants d’accéder au réseau et maintenez les correctifs à jour.
Désactivez les scripts et macros Microsoft Office. Dans un environnement Microsoft Server, cela nécessite la modification de la stratégie de groupe Active Directory. Avant de mettre en œuvre cette politique, vérifiez qu’aucun département ne serait affecté. Certains bureaux utilisent des templates et des applications avec Visual Basic comme substitut aux logiciels de comptabilité et de vente.
Les services informatiques devraient bloquer les réseaux informatiques superposés (TOR) puisque le réseau et les serveurs mandataires des TOR sont couramment utilisés par la majorité des ransomwares.
Pour les lecteurs Dropbox, Google, OneDrive et iCloud, chaque utilisateur doit, autant que possible, mettre en pause la synchronisation. Beaucoup d’utilisateurs ne savent pas comment le faire. Envoyez un mémo ou un e-mail ou ajoutez les étapes à votre bannière de connexion pour former les utilisateurs.
Implémentez plusieurs produits antimalware pour augmenter vos chances d’empêcher une infection de se produire. À noter qu’aucune solution antimalware ne détecte à elle seule toutes les infections possibles. L’utilisation d’une combinaison de produits réputés renforce grandement votre défense. Assurez-vous également d’implémenter des paquets compatibles entre eux (bien entendu, tous les paquets ne le sont pas).
Installez un filtre antispam avancé pour les e-mails. Les attaques de ransomwares commencent par un e-mail de phishing. Une solution filtrage de spams peut donc constituer votre première ligne de défense.
Conception d’une stratégie de sauvegarde pour minimiser l’impact des ransomwares
Si votre organisation dispose d’un bon ensemble de sauvegardes, elle aura le choix de payer ou non la rançon en cas d’attaque de ransomware. Sinon, vous n’aurez pas d’autre choix que de payer.
La seule façon de savoir si vous disposez d’un bon ensemble de sauvegardes est de les tester en effectuant une restauration. Dans le cadre d’une maintenance mensuelle, testez la restauration de vos données à partir des solutions de sauvegarde différentes.
Il n’est pas rare que les sauvegardes soient mal configurées ou incomplètes en raison d’une augmentation inattendue de la taille du support requis. En même temps, assurez-vous de vérifier les privilèges de l’utilisateur pour la sauvegarde.
Au sein de la communauté Spiceworks, les professionnels de l’informatique ont discuté de la façon dont ils ont changé leur stratégie de sauvegarde face aux menaces des ransomwares. La plupart des participants ont mis en place plus de procédures de sauvegarde, notamment en stockant leurs données dans plus d’endroits qu’auparavant.
Heureusement, les options de sauvegarde sont plus nombreuses que jamais. La déduplication est par exemple essentielle pour les organisations qui disposent d’un volume considérable de données. La technologie Snapshot (avec des sauvegardes adéquates) peut aussi vous permettre de mettre à jour les données de votre entreprise en un clin d’œil.
Sur ce point, voici quelques conseils à prendre en compte :
Sauvegardez souvent les données
Respectez la règle 3-2-1, en conservant au moins trois copies de vos données dans deux formats différents, dont une copie est stockée hors site. Mieux encore, considérez 4 copies, 3 supports différents et gardez 2 copies hors site.
Certains ransomwares n’infectent que les lecteurs réseau locaux et mappés. (Rappelez-vous que les lecteurs réseau mappés peuvent inclure Dropbox, Google Drive, etc.). Utilisez la sauvegarde dans le cloud, telle qu’AWS, en guise d’assurance en cas d’attaque ou de sinistre.
Dans le cas d’une attaque massive de malwares, les PC utilisateurs devraient faire l’objet d’une réflexion après coup. Des ressources informatiques sont nécessaires pour la restauration des données critiques. Si ces données se trouvent sur un seul PC, profitez-en pour les transférer sur un lecteur réseau.
La formation des utilisateurs est une étape importante
Si seulement Sally n’avait pas cliqué sur ce lien dans son courrier électronique, il n’y aurait pas de rançon à payer ! C’est vrai, la plupart des ransomwares sont livrés par messagerie électronique. Les thèmes typiques incluent les arnaques sur les factures et les avis d’expédition. Il est logique que le meilleur moyen de protéger votre organisation consiste former les utilisateurs finaux sur les menaces et les bonnes pratiques liées au phishing.
Dites NON au ransomware. Empêchez les e-mails de ransomwares d’atteindre vos utilisateurs avec SpamTitan.
