Les attaques de ransomwares sont de plus en plus fréquentes, mais vous pouvez vous protéger !
Les ransomwares sont une variante moderne de malwares, qui combinent des tactiques sophistiquées et basiques. Les cybercriminels ne demandent généralement pas de montants exorbitants, étant donné que la rançon se situe généralement entre 300 $ et 1 000 $.
Cependant, sachez que le Hollywood Presbyterian Medical Center a dû payer 17 000 $ à cause d’une attaque impliquant l’accès à ses propres données. À cela s’ajoutaient la perte de revenus et la perte de réputation de l’entreprise suite à l’attaque, le temps que le centre puisse se redresser.
Il n’existe aucun paquet ou ensemble de pratiques uniques qui immunisera un réseau contre une attaque de ransomwares. De plus, les auteurs de malwares modifient continuellement leur « produit ». Par exemple, une infection commence habituellement par des e-mails de phishing. Cela se produit lorsqu’un utilisateur clique sur un lien JavaScript dans un e-mail ou télécharge un document joint contenant des macros qui lancent le ransomware.
À l’origine, les ransomwares utilisaient exclusivement des documents Microsoft Office avec des scripts VBA malveillants. Maintenant, n’importe quelle application et tout document qui exécute le code JavaScript peuvent lancer l’attaque. Cependant, il existe de nombreuses mesures qu’une organisation peut prendre pour atténuer les dépenses liées aux rançons, voire prévenir une attaque de ransomwares.
Mesures générales de sécurité pour se protéger contre les ransomwares
Les petites organisations peuvent éventuellement utiliser des listes blanches pour restreindre l’accès à un nombre limité de sites web et d’applications.
C’est une excellente solution, mais elle est peu pratique pour la plupart des grandes entreprises.
Restriction des privilèges pour se protéger des ransomwares
L’une des mesures souvent négligées consiste à limiter les privilèges de l’utilisateur. Cela devrait être fait sur une base régulière, que ce soit pour se protéger des ransomwares ou non. La fréquence requise dépend du taux de roulement et de mutation au sein de l’organisation.
Les privilèges d’utilisateur « Runaway » peuvent provoquer la propagation de n’importe quel malware comme une traînée de poudre sur le réseau, ce qui le rend difficile à éliminer.
Certes, un audit complet des privilèges des utilisateurs représente une tâche ardue. Mais pour commencer, vous pouvez attribuer des privilèges aux utilisateurs pour les tâches administratives telles que la sauvegarde, les serveurs et le support réseau. Pour réduire au minimum l’utilisation des comptes administratifs, n’autorisez pas ces comptes à recevoir des e-mails et assignez à des employés ayant des rôles administratifs leurs propres comptes restreints habituels pour une utilisation quotidienne.
Configuration du pare-feu contre les ransomwares
Utiliser un pare-feu moderne est essentiel pour protéger votre réseau. Comme les menaces évoluent en permanence, vous devriez donc utiliser un service de mise à jour qui bloque automatiquement les dernières menaces connues.
De nombreux sites web non classés par catégorie sont utilisés dans le cadre de campagnes de phishing ciblées qui distribuent des malwares. Ainsi, il importe de configurer votre pare-feu/proxy, de manière à ce qu’il nécessite l’interaction des utilisateurs finaux — par exemple en intégrant un bouton « continuer » —, qui communiquent avec des sites web non catégorisés.
Comment se protéger contre les attaques de ransomwares ?
- Maintenez vos logiciels à jour. Cela n’empêchera pas les kits d’exploitation « zéro-day » d’attaquer votre organisation, mais corrigera les vulnérabilités logicielles les plus récentes.
- Déployez un « endpoint » qui empêche les appareils contenant des malwares, des logiciels manquants d’accéder au réseau et maintenez les correctifs à jour.
- Désactivez les scripts et macros Microsoft Office. Dans un environnement Microsoft Server, cela nécessite la modification de la stratégie de groupe Active Directory. Avant de mettre en œuvre cette politique, vérifiez qu’aucun département ne serait affecté. Certains bureaux utilisent des templates et des applications avec Visual Basic comme substitut aux logiciels de comptabilité et de vente.
- Les services informatiques devraient bloquer les réseaux informatiques superposés (TOR) puisque le réseau et les serveurs mandataires des TOR sont couramment utilisés par la majorité des ransomwares.
- Pour les lecteurs Dropbox, Google, OneDrive et iCloud, chaque utilisateur doit, autant que possible, mettre en pause la synchronisation. Beaucoup d’utilisateurs ne savent pas comment le faire. Envoyez un mémo ou un e-mail ou ajoutez les étapes à votre bannière de connexion pour former les utilisateurs.
- Implémentez plusieurs produits antimalware pour augmenter vos chances d’empêcher une infection de se produire. À noter qu’aucune solution antimalware ne détecte à elle seule toutes les infections possibles. L’utilisation d’une combinaison de produits réputés renforce grandement votre défense. Assurez-vous également d’implémenter des paquets compatibles entre eux (bien entendu, tous les paquets ne le sont pas).
- Installez un filtre antispam avancé pour les e-mails. Les attaques de ransomwares commencent par un e-mail de phishing. Une solution filtrage de spams peut donc constituer votre première ligne de défense.
Conception d’une stratégie de sauvegarde pour minimiser l’impact des ransomwares
Si votre organisation dispose d’un bon ensemble de sauvegardes, elle aura le choix de payer ou non la rançon en cas d’attaque de ransomware. Sinon, vous n’aurez pas d’autre choix que de payer.
La seule façon de savoir si vous disposez d’un bon ensemble de sauvegardes est de les tester en effectuant une restauration. Dans le cadre d’une maintenance mensuelle, testez la restauration de vos données à partir des solutions de sauvegarde différentes.
Il n’est pas rare que les sauvegardes soient mal configurées ou incomplètes en raison d’une augmentation inattendue de la taille du support requis. En même temps, assurez-vous de vérifier les privilèges de l’utilisateur pour la sauvegarde.
Au sein de la communauté Spiceworks, les professionnels de l’informatique ont discuté de la façon dont ils ont changé leur stratégie de sauvegarde face aux menaces des ransomwares. La plupart des participants ont mis en place plus de procédures de sauvegarde, notamment en stockant leurs données dans plus d’endroits qu’auparavant.
Heureusement, les options de sauvegarde sont plus nombreuses que jamais. La déduplication est par exemple essentielle pour les organisations qui disposent d’un volume considérable de données. La technologie Snapshot (avec des sauvegardes adéquates) peut aussi vous permettre de mettre à jour les données de votre entreprise en un clin d’œil.
Sur ce point, voici quelques conseils à prendre en compte :
Sauvegardez souvent les données
- Respectez la règle 3-2-1, en conservant au moins trois copies de vos données dans deux formats différents, dont une copie est stockée hors site. Mieux encore, considérez 4 copies, 3 supports différents et gardez 2 copies hors site.
- Certains ransomwares n’infectent que les lecteurs réseau locaux et mappés. (Rappelez-vous que les lecteurs réseau mappés peuvent inclure Dropbox, Google Drive, etc.). Utilisez la sauvegarde dans le cloud, telle qu’AWS, en guise d’assurance en cas d’attaque ou de sinistre.
- Dans le cas d’une attaque massive de malwares, les PC utilisateurs devraient faire l’objet d’une réflexion après coup. Des ressources informatiques sont nécessaires pour la restauration des données critiques. Si ces données se trouvent sur un seul PC, profitez-en pour les transférer sur un lecteur réseau.
La formation des utilisateurs est une étape importante
Si seulement Sally n’avait pas cliqué sur ce lien dans son courrier électronique, il n’y aurait pas de rançon à payer ! C’est vrai, la plupart des ransomwares sont livrés par messagerie électronique. Les thèmes typiques incluent les arnaques sur les factures et les avis d’expédition. Il est logique que le meilleur moyen de protéger votre organisation consiste former les utilisateurs finaux sur les menaces et les bonnes pratiques liées au phishing.
Dites NON au ransomware. Empêchez les e-mails de ransomwares d’atteindre vos utilisateurs avec SpamTitan.